Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej

Poziom zagrożeń w cyberprzestrzeni nadal jednak wzrasta w wymiarze globalnym i krajowym, gdyż pojawiają się nowe rodzaje zagrożeń oraz wzrasta aktywność grup prowadzących nielegalne działania w świecie cyfrowym, począwszy od haktywistów, przez grupy cyberprzestępcze o charakterze zarobkowym, po grupy powiązane z innymi państwami lub wręcz bezpośrednio działające w ramach instytucji nieprzyjaznych państw. Zagrożenia te mają wpływ na codzienne funkcjonowanie, bezpieczeństwo i prywatność obywateli (w szczególności dzieci, młodzieży oraz seniorów), przedsiębiorstw i instytucji publicznych.

Diametralne zmiany w środowisku bezpieczeństwa skutkują m.in. trwającymi nieustannie wrogimi i szkodliwymi działaniami w cyberprzestrzeni. Rosyjska pełnoskalowa agresja na Ukrainę wiązała się także z wysokim natężeniem cyberataków na jej systemy informacyjne i infrastrukturę informatyczną. Obiektem coraz liczniejszych cyberataków stała się również polska cyberprzestrzeń, których część jest elementem niespotykanych dotychczas na taką skalę działań hybrydowych podejmowanych wobec Rzeczypospolitej Polskiej (RP) oraz innych krajów Unii Europejskiej (UE) i Organizacji Traktatu Północnoatlantyckiego (NATO). Tocząca się walka o dominację gospodarczą, obejmująca m.in. produkty i surowce niezbędne dla rozwoju technologii (w tym tzw. wojna o chipy), digitalizacja i rozwój usług cyfrowych dodatkowo przyspieszone przez pandemię COVID-19, rozwój nowych i przełomowych technologii (takich jak sztuczna inteligencja czy technologie kwantowe), mających wpływ na wszystkie obszary funkcjonowania społeczeństw, gospodarek i systemów bezpieczeństwa narodowego, to najważniejsze czynniki przyczyniające się do diametralnego przeobrażania się świata. Mają one również wpływ na bezpieczeństwo cyberprzestrzeni.

Poważne kryzysy, takie jak pandemia COVID-19 oraz wojna Federacji Rosyjskiej z Ukrainą, pokazały, jak ważne jest zapewnienie bezpieczeństwa łańcucha dostaw i jak jego zakłócenia mogą mieć negatywne wielosektorowe i transgraniczne skutki gospodarcze i społeczne. Wobec powyższego zapewnienie cyberbezpieczeństwa łańcucha dostaw na potrzeby utrzymania krytycznej działalności społecznej i gospodarczej, ciągłości działania administracji publicznej i Sił Zbrojnych Rzeczypospolitej Polskiej (SZ RP) oraz usług realizowanych na ich rzecz staje się kluczowym wyzwaniem, przed jakim stoi RP.

W obliczu nowych zagrożeń i rosnącej ich skali, biorąc pod uwagę ich transgraniczny charakter, szczególne znaczenie ma współpraca na arenie międzynarodowej w ramach organizacji międzynarodowych, takich jak UE, NATO czy Organizacja Narodów Zjednoczonych (ONZ), oraz w formacie dwustronnym i wielostronnym, w szczególności z najbliższymi sojusznikami i partnerami.

Rolą państwa jest podjęcie działań, które pozwolą systemowo zwiększać poziom cyberbezpieczeństwa krajowego i ograniczać ryzyka związane z cyberprzestrzenią, a w szczególności zapewnić odporność na zagrożenia kluczowych zasobów i usług z punktu widzenia działalności społecznej, gospodarczej, administracji publicznej oraz bezpieczeństwa i obronności państwa. Przyjęcie nowej Strategii wynika z 5-letnich ram czasowych określonych w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa 2 (ustawa o KSC) oraz jest podyktowane zmianami, jakie zachodzą na świecie. Przyjęcie nowej Strategii musi być także spójne z innymi dokumentami strategicznymi oraz polityką państwa wewnętrzną i zagraniczną we wszystkich obszarach funkcjonowania.

W zakresie aktów legislacyjnych poprzednie działania obejmowały wejście w życie ustawy o KSC wraz z jej nowelizacjami. Ustawa ta wdrożyła do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS) 3 .

Zakończyły się prace legislacyjne nad nowelizacją ustawy o KSC, która ma na celu wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) 4 . W rezultacie znacząco zostanie zmodyfikowany krajowy system cyberbezpieczeństwa (KSC), w szczególności przez rozszerzenie katalogu podmiotów objętych tymi regulacjami.

Ponadto ustawa z dnia 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa 5 (ustawa o KSCC) dostosowywała polski porządek prawny do obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) 6 . Regulacje te stanowią ważne uzupełnienie KSC w zakresie certyfikacji.

W zakresie dokumentów strategicznych poprzednie działania obejmowały przyjęcie przez rząd:

1) w 2013 r. Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, przyjętej uchwałą nr 111/2013 Rady Ministrów z dnia 25 czerwca 2013 r. w sprawie Polityki Ochrony Cyberprzestrzeni Rzeczpospolitej Polskiej 7 ;

2) w 2017 r. Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022, przyjętych uchwałą nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r. w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 8 ;

3) w 2019 r. Strategii na lata 2019-2024, przyjętej uchwałą nr 125 Rady Ministrów z dnia 22 października 2019 r. w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 9 .

Kwestia cyberbezpieczeństwa ujęta jest także w Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej zatwierdzonej w 2020 r. przez Prezydenta Rzeczypospolitej Polskiej, jak również będzie uwzględniona w przygotowywanej nowej Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej, w związku z czym zostanie zachowana spójność strategiczna między niniejszą Strategią a Strategią Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej. Przy opracowywaniu Strategii wzięto także pod uwagę trwające prace nad Strategią Rozwoju Polski do 2035 r. - nową średniookresową strategią rozwoju kraju.

Strategia jest spójna z głównymi celami i działaniami określonymi w Strategii UE w zakresie cyberbezpieczeństwa na cyfrową dekadę 10 . Jej realizacja, przez wzmocnienie krajowego systemu cyberbezpieczeństwa, przełoży się również na podniesienie poziomu cyberodporności UE.

Niniejsza Strategia zastąpi Strategię na lata 2019-2024, obejmując działania od 2025 r., na okres kolejnych 5 lat, to jest do 2029 r.

Zamierzeniem niniejszego dokumentu jest określenie celów strategicznych oraz odpowiednich środków politycznych i regulacyjnych, mających na celu podniesienie poziomu odporności w wymiarze cyberbezpieczeństwa, zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym, prywatnym oraz promowanie wiedzy i dobrych praktyk umożliwiających obywatelom lepszą ochronę ich własnych danych i informacji. Realizacja celów strategicznych ma również wpływać na podniesienie poziomu bezpieczeństwa narodowego, zdolności do rozpoznawania cyberzagrożeń i osiągnięcie zdolności do prowadzenia działań w cyberprzestrzeni defensywnych i ofensywnych, neutralizacji zagrożeń ze strony grup hakerskich powiązanych z obcymi państwami, zwiększenie skuteczności organów ścigania i wymiaru sprawiedliwości w wykrywaniu i zwalczaniu cyberprzestępstw oraz działań o charakterze hybrydowym (w tym działań o charakterze terrorystycznym) i szpiegowskim w cyberprzestrzeni. Ważnym uzupełnieniem, istotnym dla całego bezpieczeństwa narodowego, są zdolności przewidywania i prognozowania rozwoju sytuacji (foresight) oraz wnioskowania na podstawie danych (data science).

Strategia jest spójna z prowadzonymi działaniami dotyczącymi bezpieczeństwa systemów teleinformatycznych operatorów infrastruktury krytycznej (IK) oraz zmianami systemowymi wynikającymi z przygotowywanego wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylającej dyrektywę Rady 2008/114/WE (dyrektywa CER) 11 . Uwzględnia również potrzeby zapewnienia SZ RP zdolności do prowadzenia działań militarnych w układzie krajowym, sojuszniczym i koalicyjnym w przypadku zagrożenia cyberbezpieczeństwa powodującego konieczność działań obronnych.

Podejmując działania mające na celu wdrożenie Strategii, rząd będzie w pełni gwarantował prawo do prywatności oraz stał na stanowisku, że wolny i otwarty internet jest istotnym elementem funkcjonowania współczesnego społeczeństwa. Jednocześnie istotne jest, aby prawo do prywatności nie utrudniało identyfikacji cyberprzestępców oraz ich ścigania i nie zapewniało im bezkarności.

1) cele i priorytety w zakresie cyberbezpieczeństwa;

2) podmioty zaangażowane we wdrażanie i realizację Strategii;

3) środki służące realizacji celów Strategii;

4) określenie środków w zakresie gotowości, reagowania i przywracania stanu normalnego, w tym zasady współpracy między sektorem publicznym i prywatnym;

5) podejście do oceny ryzyka;

6) działania odnoszące się do programów edukacyjnych, informacyjnych i szkoleniowych dotyczących cyberbezpieczeństwa;

7) działania odnoszące się do planów badawczo-rozwojowych w zakresie cyberbezpieczeństwa.

Strategia uwzględnia również materię przeciwdziałania i zwalczania cyberprzestępczości oraz uzyskania zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni.

Ponadto Strategia uwzględnia międzynarodową współpracę w zakresie cyberbezpieczeństwa.

Strategia, przyjęta w drodze uchwały Rady Ministrów (RM), oddziałuje w sposób bezpośredni na podmioty administracji rządowej, a w sposób pośredni, po przyjęciu z inicjatywy RM przepisów prawa powszechnie obowiązującego, na pozostałe podmioty, w tym m.in. na przedsiębiorców i obywateli.

Cyberbezpieczeństwo jest pośrednio związane z zagadnieniami takimi jak bezpieczeństwo przestrzeni informacyjnej, wojna kognitywna i dezinformacja. Uwzględniając zakres Strategii określony w ustawie o KSC, ustawową definicję cyberbezpieczeństwa oraz całość ustawy o KSC, które nie obejmują bezpośrednio tych zagadnień, Strategia uwzględnia je wyłącznie w odniesieniu do działań dotyczących wzmacniania odporności na zagrożenia hybrydowe, które łączą kampanie dezinformacyjne z cyberatakami, oraz w odniesieniu do budowania świadomości obywateli w zakresie cyberbezpieczeństwa i odporności społecznej na wrogie działania w cyberprzestrzeni.

Zapewnienie bezpieczeństwa oraz pomyślny rozwój RP, wzrost jej zasobności, efektywności gospodarki, sprawności działania instytucji, podmiotów, w tym aktywność społeczna oraz codzienne funkcjonowanie każdego członka społeczeństwa, są związane ze sprawnym i bezpiecznym działaniem systemów informacyjnych i środków komunikacji elektronicznej. Dlatego w ramach działań zaplanowanych w Strategii rząd będzie systematycznie wzmacniał i rozwijał KSC. Działania uwzględniają systemowe rozwiązania organizacyjne, finansowe, operacyjne, technologiczne, prawne, kreowanie postaw społecznych oraz prowadzenie badań naukowych i prac rozwojowych, jak również rozwój polskiej branży cyberbezpieczeństwa, w sposób zapewniający spełnienie wysokich standardów cyberbezpieczeństwa w obszarze oprogramowania, urządzeń i usług cyfrowych. Działania rządu będą podejmowane z poszanowaniem praw i wolności obywateli oraz przez budowę zaufania między administracją rządową a poszczególnymi sektorami rynkowymi. W obszarze międzynarodowym działania rządu będą ukierunkowane na wzajemnie korzystną współpracę oraz promowanie i ochronę otwartej, wolnej, stabilnej i bezpiecznej cyberprzestrzeni opartej na prawach człowieka, podstawowych wolnościach, demokracji i praworządności.

4.2. Cel główny

Podniesienie poziomu odporności krajowych podmiotów przez zwiększenie poziomu ochrony informacji oraz zwiększenie zdolności do wykrywania i reagowania na zagrożenia, promowanie wiedzy i dobrych praktyk oraz podnoszenie kompetencji w zakresie cyberbezpieczeństwa w sektorze publicznym (w tym militarnym), prywatnym, a także wśród obywateli.

4.3. Cele szczegółowe

Cel szczegółowy 1. Rozwój krajowego systemu cyberbezpieczeństwa.

Cel szczegółowy 2. Przeciwdziałanie i zwalczanie cyberprzestępczości oraz uzyskanie zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni.

Cel szczegółowy 3. Podniesienie poziomu odporności systemów informacyjnych w sferze publicznej (w tym militarnej) oraz prywatnej.

Cel szczegółowy 4. Zwiększanie potencjału krajowej bazy technologiczno-przemysłowej oraz wzmocnienie suwerenności technologicznej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa.

Cel szczegółowy 5. Budowanie świadomości, wiedzy i kompetencji kadr podmiotów krajowego systemu cyberbezpieczeństwa oraz obywateli i przedsiębiorców.

Cel szczegółowy 6. Wzmocnienie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa.

Tabela 1. Układ celów i kierunków interwencji

KSC formalnie został ustanowiony w 2018 r. przez uchwalenie ustawy o KSC. Jednak system ten w praktyce istniał od lat i wciąż ewoluuje. Istotne zmiany w funkcjonowaniu KSC nastąpią wraz z nowelizacją ustawy o KSC, która zaimplementuje do polskiego porządku prawnego dyrektywę NIS 2, przyjętą w 2022 r. Jednak przygotowywane zmiany ustawowe nie dotyczą tylko implementacji prawa UE, ale są też odpowiedzią na zidentyfikowane potrzeby zmian, jak również wynikają z postępu technologicznego, nowych zagrożeń i ewolucji środowiska bezpieczeństwa.

Najważniejsze zmiany wynikające z implementacji dyrektywy NIS 2 są związane z zastąpieniem przez ten akt prawny dotychczasowego podziału na operatorów usług kluczowych (OUK) i dostawców usług cyfrowych (DUC), na podmioty kluczowe i podmioty ważne. Ponadto rozszerzeniu ulegnie katalog sektorów objętych dyrektywą NIS 2. Dyrektywa ta określa również szereg obowiązków podmiotów kluczowych i podmiotów ważnych. Jako podstawowy obowiązek należy wskazać stosowanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Przez nowelizację ustawy o KSC zostaną wdrożone także postanowienia unijnego zestawu środków dla cyberbezpieczeństwa sieci 5G (Toolbox 5G).

Ponadto uchwalona w dniu 23 stycznia 2026 r. nowelizacja ustawy o KSC dotyczy w szczególności:

1) rozszerzenia katalogu podmiotów KSC o nowe sektory gospodarki;

2) nałożenia obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;

3) wprowadzenia obowiązku zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) sektorowych i CSIRT poziomu krajowego;

4) utworzenia CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;

5) wzmocnienia kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa (organów właściwych);

6) wprowadzenia nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne;

7) wprowadzenia Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;

8) rozszerzenia kompetencji ministra właściwego do spraw informatyzacji (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego);

9) rozszerzenia kompetencji ministra właściwego do spraw informatyzacji i Ministra Obrony Narodowej o zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę;

10) rozszerzenia zakresu zadań CSIRT-ów poziomu krajowego (CSIRT MON, CSIRT NASK i CSIRT GOV), które będą mogły m.in. przeprowadzić ocenę bezpieczeństwa systemów informacyjnych wykorzystywanych przez podmioty KSC i prowadzić działania w zakresie identyfikowania podatności systemów dostępnych w otwartych sieciach teleinformatycznych;

11) wprowadzenia odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa.

Ocena KSC wskazuje na potrzebę lepszej koordynacji i zinstytucjonalizowanego zarządzania cyberbezpieczeństwem na poziomie krajowym. W związku z tym w nowelizacji ustawy o KSC zostanie wzmocniona rola Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa (Pełnomocnik), który otrzyma więcej uprawnień, aby lepiej zarządzać i koordynować KSC. Funkcja Pełnomocnika zostanie na stałe związana z urzędem obsługującym ministra właściwego do spraw informatyzacji. Pełnomocnik zostanie także przewodniczącym Zespołu do spraw Incydentów Krytycznych, a do urzędu go obsługującego zostanie przeniesiona obsługa tego Zespołu. Rola Pełnomocnika będzie dalej wzmacniana. Będzie on koordynował w porozumieniu z Ministrem Obrony Narodowej działania w zakresie współpracy cywilno-wojskowej w obszarze cyberbezpieczeństwa w czasie pokoju. Pozwoli to zwiększyć efektywność działań i należycie zsynchronizować aktywności w obszarze cyberbezpieczeństwa podejmowane zarówno w sferze wojskowej, jak i cywilnej, a przez to skuteczniej realizować cele strategiczne.

W uchwalonej zmianie ustawy o KSC sformalizowane zostanie funkcjonowanie Połączonego Centrum Operacyjnego Cyberbezpieczeństwa (PCOC), które działa od 2022 r. Formuła spotkań koordynacyjnych w formacie PCOC, w których biorą udział przedstawiciele kluczowych dla cyberbezpieczeństwa kraju instytucji, dzięki szybkiej wymianie informacji i sprawnemu reagowaniu na pojawiające się incydenty cyberbezpieczeństwa, stanowi istotną wartość dodaną dla KSC.

W kolejnym kroku nastąpi rozszerzenie charakteru PCOC przez utworzenie pod tą nazwą komórki organizacyjnej w urzędzie obsługującym ministra właściwego do spraw informatyzacji, która będzie organizacyjnie i merytorycznie obsługiwać Pełnomocnika i spotkania PCOC, koordynować z ramienia Pełnomocnika działania instytucji zapewniających cyberbezpieczeństwo na poziomie krajowym oraz realizować część zadań ministra właściwego do spraw informatyzacji przewidzianych w ustawie o KSC.

Docelowo PCOC zostanie przekształcone w centralną instytucję zapewniającą cyberbezpieczeństwo na poziomie krajowym, dysponującą odpowiednią pozycją ustrojową, kompetencjami, zasobami osobowymi, budżetem i infrastrukturą. Nowa instytucja będzie pełnić funkcję koordynującą w KSC, a także będzie stanowić "jedno okienko" dla podmiotów KSC i obywateli w zakresie zgłaszania incydentów, jak również będzie odpowiadać za wsparcie działań Pełnomocnika. Pozwoli to jeszcze bardziej zwiększyć efektywność systemu i zapewni sprawniejsze reagowanie na zagrożenia w cyberprzestrzeni. Wnioski krajowe oraz z innych państw pokazują, że potrzebne jest powołanie do życia nowej instytucji centralnej, odpowiedzialnej za cyberbezpieczeństwo w skali całego państwa, pozwalającej w sposób centralny zarządzać cyberbezpieczeństwem w RP. W związku z rozbudowywaniem i komplikacją przepisów dotyczących cyberbezpieczeństwa na poziomie UE, PCOC będzie wspierać działania mające na celu upraszczanie i harmonizację wdrażania przepisów dotyczących cyberbezpieczeństwa, w tym identyfikowanie obszarów przenikania się regulacji, synchronizację działań i uproszczenie procedur dla podmiotów zobowiązanych do stosowania regulacji związanych z cyberbezpieczeństwem.

Jednocześnie ważnym uzupełnieniem KSC jest ustawa o KSCC, która wprowadziła system certyfikacji cyberbezpieczeństwa w RP oraz procedury niezbędne do zapewnienia prawidłowości procesów certyfikacyjnych.

W obliczu rosnącej liczby aktów prawa UE i prawa krajowego dotyczących cyberbezpieczeństwa będą prowadzone działania, które pozwolą zadbać o ich należytą harmonizację i skoordynowane wdrażanie. Do porządku krajowego zaimplementowane zostaną lub zostanie zapewnione stosowanie także sektorowych regulacji UE, w tym rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (rozporządzenie 2022/2554) 13 oraz dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw

2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego 14 .

5.2. Podniesienie efektywności krajowego systemu cyberbezpieczeństwa

Wzrastająca skala zagrożeń oraz związane z tym zwiększanie zakresu działań w ramach KSC stwarzają konieczność ciągłego monitorowania i poprawiania efektywności całego systemu, aby należycie zapewniać bezpieczeństwo polskiej cyberprzestrzeni i koordynować służące temu działania.

Podnoszenie efektywności funkcjonowania KSC jest realizowane m.in. przez uruchomiony z dniem 1 stycznia 2021 r. przez ministra właściwego do spraw informatyzacji system S46 wspierający:

1) współpracę podmiotów wchodzących w skład KSC;

2) generowanie i przekazywanie rekomendacji dotyczących działań podnoszących poziom cyberbezpieczeństwa;

3) zgłaszanie i obsługę incydentów cyberbezpieczeństwa;

4) szacowanie ryzyka na poziomie krajowym;

5) ostrzeganie o cyberzagrożeniach;

6) czynności nadzorcze organów właściwych;

7) dokonywanie zgłoszenia naruszenia ochrony danych osobowych.

System S46 będzie rozwijany, w tym przez zwiększenie jego efektywności oraz wprowadzenie nowych funkcjonalności, takich jak gromadzenie informacji o podmiotach kluczowych i podmiotach ważnych (po wejściu w życie projektowanej nowelizacji ustawy o KSC), istotne z punktu widzenia zarządzania KSC. Ponadto do systemu S46 będą przyłączone kolejne podmioty KSC, w tym wszystkie podmioty kluczowe i podmioty ważne. System S46 będzie podstawą wymiany informacji między podmiotami kluczowymi, podmiotami ważnymi oraz instytucjami państwowymi. Informacje z tego systemu będą również przekazywane do organów odpowiedzialnych za zarządzanie kryzysowe. Zmodernizowany system S46 będzie też wykorzystywany przez PCOC dla zautomatyzowania wymiany informacji w ramach KSC.

Uruchomiony został także portal cyber.gov.pl - nowoczesna, rządowa platforma stworzona z myślą o bezpieczeństwie cyfrowym obywateli, firm i instytucji publicznych. W jednym miejscu znajdują się wszystkie kluczowe usługi i narzędzia - od zgłaszania incydentów, przez monitorowanie zagrożeń, po dostęp do rozwiązań takich jak system Artemis, S46 czy aplikacji moje.cert.pl. Platforma oferuje również dostęp do bazy wiedzy, szkoleń, ostrzeżeń i praktycznych informacji o obowiązkach wynikających z ustawy o KSC i dyrektywy NIS 2. Dzięki integracji m.in. z węzłem krajowym identyfikacji elektronicznej, o którym mowa w art. 21a ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej 15 , logowanie i korzystanie z serwisu będzie łatwe i bezpieczne.

Działaniem zmierzającym do budowania krajowego i europejskiego cyberbezpieczeństwa będzie wytworzenie w oparciu o system S46 oraz usługę wymiany informacji na temat incydentów bezpieczeństwa sieci n6 krajowej platformy wspomagającej wykrywanie i budowanie świadomości sytuacyjnej zagrożeń i incydentów cyberbezpieczeństwa dla sektora publicznego i prywatnego, stanowiącej Krajowy Cyber Hub (National Cyber Hub - NCH). Docelowo platforma ta stanie się elementem europejskiej sieci komunikacji o zagrożeniach cyberbezpieczeństwa (European Cybersecurity Alert System).

Wzmacniana będzie rola organów właściwych przez zwiększenie ich uprawnień związanych z nadzorem danego sektora, ponadto organ właściwy będzie ustanawiać CSIRT sektorowy. Oprócz możliwości przeprowadzania kontroli organy właściwe zyskają m.in. możliwość zobowiązania podmiotu w drodze decyzji do przeprowadzenia audytu bezpieczeństwa czy uprawnienie do nakazania podmiotom podjęcia określonych czynności dotyczących obsługi incydentu. W określonych ustawowo sytuacjach organ właściwy będzie mógł z urzędu wpisać dany podmiot do wykazu podmiotów kluczowych i podmiotów ważnych. Organy właściwe będą ponadto odgrywać istotną rolę w zakresie oceny bezpieczeństwa łańcucha dostaw. Organy właściwe będą także zacieśniać współpracę między sobą, aby należycie synchronizować działania podejmowane w poszczególnych sektorach, zapewniać sobie wzajemną pomoc oraz w stosownych przypadkach prowadzić wspólne działania nadzorcze.

Wzmacniana będzie efektywność zespołów cyberbezpieczeństwa podmiotów KSC, w szczególności tych, których systemy teleinformatyczne lub sieci teleinformatyczne są objęte jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład IK. Specjalistyczne ćwiczenia i warsztaty cyberbezpieczeństwa, w tym w formacie międzynarodowym, z wykorzystaniem nowoczesnych platform typu CyberRange i zaawansowanych scenariuszy adresujących współczesne wyzwania i zagrożenia w domenie cyberbezpieczeństwa, dadzą możliwość zgrywania zespołów cyberbezpieczeństwa oraz weryfikacji ich umiejętności w bezpośrednich działaniach.

W ramach struktur Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego (NASK), w ramach którego funkcjonuje jeden z CSIRT-ów poziomu krajowego (CSIRT NASK) - zostanie utworzone Centrum Cyberbezpieczeństwa NASK (CCN), na które złożą się jakościowo nowe tematyczne specjalistyczne centra, ośrodki i laboratoria kluczowe dla wzmocnienia KSC. Realizacja tego działania pozwoli na podniesienie poziomu bezpieczeństwa informacji, przez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych państwa oraz podmiotów mających kluczowe znaczenie dla gospodarki.

Niezbędne zmiany zostaną również wprowadzone w strukturze Agencji Bezpieczeństwa Wewnętrznego (ABW), polegające na powołaniu nowej jednostki organizacyjnej posiadającej kompetencje w zakresie rozpoznawania, przeciwdziałania i zwalczania cyberterroryzmu i cyberszpiegostwa.

Newralgicznym elementem KSC są jednostki samorządu terytorialnego (JST). Stworzone zostaną wojewódzkie zespoły specjalistów cyberbezpieczeństwa działających lokalnie i wspierających podmioty publiczne w obsłudze incydentów i odzyskiwaniu danych oraz prowadzeniu działań podnoszących świadomość o cyberbezpieczeństwie. Kontynuowany będzie program Cyberbezpieczny Samorząd obejmujący szkolenia i zakupy niezbędnego sprzętu i oprogramowania. Rząd będzie wspierać JST w budowie i rozbudowie samorządowych struktur odpowiedzialnych za cyberbezpieczeństwo tych jednostek, co jest szczególnie istotne, biorąc pod uwagę ograniczone zasoby poszczególnych JST. W celu ograniczenia deficytu specjalistów z obszaru cyberbezpieczeństwa w jednostkach samorządu terytorialnego zostanie uruchomione przedsięwzięcie budowy Lokalnych Centrów Cyberbezpieczeństwa, działających jako Centra Usług Wspólnych w obszarze IT, które zapewnią wysoki poziom cyberbezpieczeństwa dla wielu instytucji działających na szczeblu lokalnym i regionalnym. Prowadzone będą również działania zorientowane na wsparcie samorządów na poziomie wojewódzkim w zakresie realizacji przedsięwzięć w obszarze cyberbezpieczeństwa w ramach programów regionalnych.

W kontekście podnoszenia poziomu cyberbezpieczeństwa kluczowe znaczenie ma zapewnienie dostępu do wiedzy eksperckiej dotyczącej cyberzagrożeń. Jednym ze sposobów na zapewnienie takiego dostępu jest tworzenie Centrów Wymiany i Analizy Informacji (ISAC) oraz ośrodków kompetencji. ISAC gromadzi informacje o podatnościach i cyberzagrożeniach, a następnie przekazuje te informacje oraz zestawy dobrych praktyk do podmiotów, które uczestniczą w systemie wymiany takich informacji. Funkcjonowanie ISAC w sektorach objętych zakresem ustawy o KSC, a także jej nowelizacji, które mają kluczowe znaczenie dla polskiej gospodarki, przyczyni się do wzmocnienia współpracy i zaufania między podmiotami z tego samego sektora. Tworzenie ISAC w dalszym ciągu będzie wspierane na zasadach ogólnych - na przykład w formie stowarzyszeń, fundacji, partnerstw publiczno-prywatnych lub innych jednostek organizacyjnych, bez regulowania tej materii w ustawie KSC.

Kontynuowane będą działania dotyczące cyberbezpieczeństwa w ramach systemu zarządzania kryzysowego oraz zarządzania kryzysowego w cyberbezpieczeństwie w ramach KSC. Nowym elementem będzie przygotowanie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę oraz monitorowanie jego wykonania. Pozwoli to zbliżyć regulacje KSC oraz zarządzania kryzysowego, zapewniając przepływ niezbędnych informacji i synergię działań. Działania te obejmować będą także zwiększenie cyberbezpieczeństwa IK. Zgodnie z rozporządzeniem delegowanym Komisji (UE) 2024/1366 z dnia 11 marca 2024 r. uzupełniającym rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej 16 (Kodeks Sieci) w ramach Krajowego planu zostaną również uwzględnione kwestie zarządzania kryzysami i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej (art. 41 ust. 2 i 3 Kodeksu Sieci).

Rozwijane będą zdolności analityczne w oparciu o dane na potrzeby określania dalszego kierunku rozwoju KSC oraz przewidywania i prognozowania rozwoju sytuacji w środowisku cyberbezpieczeństwa (cyber-foresight). Rozwiązania z zakresu technologii informacyjno-telekomunikacyjnych (ICT) wspierające działalność analityczną będą współdzielone przez podmioty KSC, jak również wzajemnie udostępniane będą uzyskane z użyciem tych rozwiązań produkty analityczne.

5.3. Rozwój zintegrowanego systemu wymiany informacji na potrzeby zapewnienia ciągłości funkcjonowania administracji państwowej, bezpieczeństwa narodowego i ochrony ludności

Systemy bezpiecznej wymiany informacji na potrzeby kierowania bezpieczeństwem narodowym są konieczne nie tylko dla zapewnienia cyberbezpieczeństwa w kraju, ale także dla kompleksowego systemu bezpieczeństwa narodowego.

Utworzony zostanie System Bezpiecznej Łączności Państwowej (SBŁP) zapewniający wymianę informacji między organami odpowiedzialnymi za realizację zadań z zakresu zarządzania kryzysowego, bezpieczeństwa państwa, ochrony porządku publicznego, ratownictwa, ochrony ludności i obrony cywilnej. Podsystemy tworzące SBŁP obejmą swoim zakresem jawną i niejawną łączność stacjonarną, infrastrukturę wideokonferencyjną, bezpieczną łączność mobilną, w tym niejawną łączność komórkową, łączność trankingową, łączność radiową oraz bezpieczną łączność satelitarną. Nastąpi wzmocnienie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach przepływu informacji. Zapewnione zostaną wydajne, bezpieczne i dostępne usługi systemów telekomunikacyjnych, pozwalające na dostarczanie usług łączności także w przypadkach relokowania stanowisk kierowania i dowodzenia w kontekście ochrony ludności, zwiększenia bezpieczeństwa obywateli i skuteczności reagowania na sytuacje kryzysowe. Rozwijane będą rozwiązania kryptograficzne, w tym mechanizmy szyfrowania i bezpiecznej transmisji danych. Powstanie hybrydowa infrastruktura umożliwiająca przełączanie między sieciami naziemnymi a systemami satelitarnymi w przypadku zakłóceń. Zostanie opracowana możliwość komunikacji między systemem a rozwiązaniami wojskowymi w czasie pokoju, kryzysu i konfliktu.

Bezpośrednimi użytkownikami systemu będą organy administracji publicznej, urzędy obsługujące te organy oraz jednostki organizacyjne podległe tym organom lub przez nie nadzorowane wykonujące zadania z zakresu bezpieczeństwa państwa, ochrony porządku publicznego, ratownictwa, ochrony ludności i obrony cywilnej oraz zarządzania kryzysowego, powiadamiania, ostrzegania i alarmowania ludności.

Kontynuowane będą zbudowane i wdrożone już rozwiązania bezpiecznej łączności mobilnej: system łączności mobilnej umożliwiający przetwarzanie informacji niejawnych do klauzuli "zastrzeżone" w oparciu o system CATEL (SKR-Z), bazujący na wytycznych dotyczących budowy i zasad funkcjonowania systemu CATEL, jak również "Komunikator" mający na celu zapewnienie bezpiecznej (jawnej) komunikacji rządowej i KSC na urządzeniach służbowych. Nacisk będzie położony na utrzymanie tych systemów na wysokim poziomie dostępności, z zapewnieniem ich dostępności cyfrowej oraz sukcesywne zwiększanie liczby użytkowników oraz wzbogacanie funkcjonalności systemu. Rozwijana będzie też platforma elektronicznego zarządzania dokumentami niejawnymi zabezpieczona krajowymi rozwiązaniami kryptograficznymi oraz dokonane zostaną niezbędne zmiany w przepisach prawa umożliwiające funkcjonowanie platformy zgodnie z wymogami dotyczącymi ochrony informacji niejawnych. Zostanie również stworzony komunikator narodowy na potrzeby administracji publicznej. Podejmowane będą działania, aby wykorzystywane, komercyjne rozwiązania komunikacyjne były zastępowane rozwiązaniami udostępnianymi przez instytucje państwowe.

5.4. Zwiększanie cyberbezpieczeństwa podmiotów nadzorowanych przez organy właściwe do spraw cyberbezpieczeństwa

Uchwalona zmiana ustawy o KSC związana z wdrożeniem dyrektywy NIS 2 doprowadzi do zastąpienia OUK i DUC przez podmioty kluczowe i podmioty ważne. Dotychczasowy podział na OUK oraz DUC okazał się nieaktualny, ponieważ nie odzwierciedlał znaczenia danych sektorów oraz usług dla działalności społecznej i gospodarczej państw członkowskich UE. Dlatego zakresem obowiązywania dyrektywy NIS 2, a tym samym projektowanej ustawy implementującej tę dyrektywę, objęto nowe sektory gospodarki mające kluczowe znaczenie dla działalności społecznej i gospodarczej państwa.

Oprócz rozszerzenia zakresu podmiotowego dyrektywa NIS 2 wprowadziła również m.in. znacznie rozbudowany katalog obowiązków, którym podlegają podmioty kluczowe i podmioty ważne. Zobowiązanie podmiotów kluczowych i podmiotów ważnych do wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie przyczyni się w znacznym stopniu do zwiększenia poziomu cyberbezpieczeństwa tych podmiotów, a tym samym bezpieczeństwa na poziomie krajowym, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia usług oraz zapewnienie obsługi incydentów.

Wzrost liczby cyberataków wymaga podjęcia konkretnych działań strategicznych wpływających na zwiększenie poziomu cyberbezpieczeństwa podmiotów kluczowych oraz podmiotów ważnych. CSIRT będą zapewniać właściwe wsparcie (w tym prowadzenie działań proaktywnych) w zakresie cyberbezpieczeństwa i bezpieczeństwa podmiotów kluczowych i podmiotów ważnych. Szczególna uwaga będzie zwrócona na podmioty powiązane funkcjonalnie/technologicznie z IK, administracją publiczną oraz instytucjami bezpieczeństwa i obronności państwa, jako potencjalne cele ataku. Szkolenia dla podmiotów KSC obejmą także kwestie zabezpieczenia interesów podmiotów od strony prawnej w sytuacji wystąpienia incydentu poważnego.

Cyberbezpieczeństwo podmiotów kluczowych i podmiotów ważnych zostanie zwiększone również przez zapewnienie skutecznego nadzoru nad tymi podmiotami, który będzie sprawowany przez organy właściwe do spraw cyberbezpieczeństwa prewencyjnie lub następczo - w zależności od rodzaju podmiotu. Wyposażenie organów właściwych do spraw cyberbezpieczeństwa w szersze kompetencje nadzorcze pozwoli na zapewnienie odpowiednio wysokiego poziomu cyberbezpieczeństwa, w szczególności przez wydawanie poleceń co do obsługi incydentu, wdrożenia zaleceń z audytu czy nakazanie zapewnienia zgodności środków zarządzania ryzykiem w cyberbezpieczeństwie. Ważną rolę w zapewnianiu cyberbezpieczeństwa podmiotów kluczowych i podmiotów ważnych będzie pełnić nadzór o charakterze prewencyjnym, który ma na celu zapewnienie, że podmioty kluczowe będą zdolne do uniknięcia cyberzagrożeń i naruszeń przepisów ustawy o KSC, które mogą prowadzić do wystąpienia incydentów. Ponadto podmiotom tym zostanie udostępniony system S46, co umożliwi im m.in. bardziej efektywne zarządzanie cyberbezpieczeństwem oraz współpracę i wymianę informacji z innymi podmiotami KSC. Wdrożone zostaną postanowienia Kodeksu Sieci, których stosowanie umożliwią przepisy przygotowanej nowelizacji ustawy o KSC. Kodeks Sieci zapewnia dodatkowy katalog obowiązków w celu zwiększania cyberbezpieczeństwa dla podmiotów, które mają wpływ na transgraniczne przepływy energii elektrycznej, jak i katalog uprawnień nadzorczych i obowiązków w zakresie współpracy krajowej i międzynarodowej dla wyznaczonego w tym zakresie organu właściwego. Efektem tych działań będzie wzmocnienie współpracy między poszczególnymi podmiotami oraz właściwymi organami w dziedzinie energii elektrycznej i cyberbezpieczeństwa, a także ułatwienie zapobiegania kryzysom elektroenergetycznym, których podstawową przyczyną może być incydent cyberbezpieczeństwa.

W cyklicznie odbywających się ćwiczeniach cyberbezpieczeństwa na większą skalę będą uczestniczyć także podmioty kluczowe i podmioty ważne.

Udzielone zostanie również wsparcie dla 500 podmiotów KSC w modernizacji i rozbudowie infrastruktury cyberbezpieczeństwa w sieciach IT, w tym wsparcie podmiotów wykorzystujących technologie informacyjne (IT) oraz technologie operacyjne (OT) stosowane w przemysłowych systemach sterowania (ICS).

5.5. Wypracowanie i wdrożenie metodyki szacowania ryzyka na poziomie krajowym

Na potrzeby zarządzania cyberbezpieczeństwem na poziomie krajowym została opracowana, a następnie zaimplementowana w systemie S46, metodyka statycznego i dynamicznego szacowania ryzyka dla systemów teleinformatycznych. Praktyka wykorzystania tej metodyki wykazała, że jest ona trudna do wdrożenia w podmiotach KSC i nie daje oczekiwanych rezultatów.

Zostanie opracowane i zaimplementowane w systemie S46 inne podejście dotyczące szacowania ryzyka, w powiązaniu z osiąganiem oczekiwanego poziomu cyberbezpieczeństwa, zarówno na poziomie podmiotów KSC, jak i ryzyka uogólnionego na poziomie krajowym. W tym celu wykorzystywane będą informacje przekazywane przez podmioty kluczowe i podmioty ważne oraz informacje o zagrożeniach, podatnościach i incydentach pozyskiwane z innych źródeł, w szczególności z CSIRT. Nowe rozwiązanie w zakresie szacowania ryzyka będzie mogło być efektywniej wykorzystane, jak również będzie łatwiejsze w implementacji w podmiotach o różnej wielkości.

Zapewniony zostanie kompleksowy ekosystem regulacji odnoszących się do zwalczania cyberprzestępczości, zabezpieczenia elektronicznego materiału dowodowego oraz przeciwdziałania kradzieży tożsamości. Rozwój nowoczesnych technologii informacyjno-komunikacyjnych, dostępność środków komunikowania się na odległość i związany z tym rozwój elektronicznych usług wpłynął na sposoby działania sprawców przestępstw skierowanych przeciwko różnym dobrom prawnie chronionym.

W celu szybszego wykrywania sprawców przestępstw w internecie zostaną przygotowane projekty zmian przepisów umożliwiających szybszy dostęp organom ścigania do informacji stanowiących tajemnicę bankową. Projektowane zmiany prawne będą dotyczyć też umożliwienia żądania danych objętych tajemnicą bankową jedynie na podstawie postanowienia prokuratora, bez udziału właściwego miejscowo sądu okręgowego. Taka zmiana w znaczący sposób wpłynie na skuteczność prowadzonych postępowań, koncentrację materiału dowodowego, w szczególności we wstępnej fazie prowadzonego śledztwa czy dochodzenia.

Zaproponowane zostaną zmiany przepisów dotyczące obowiązków banków i innych instytucji finansowych w zakresie retencjonowania oraz przekazywania informacji i danych dotyczących prowadzonych rachunków bankowych i innych usług oraz produktów za pośrednictwem internetu. Zaproponowane zostanie rozwiązanie nakładające obowiązek na instytucje finansowe (w tym banki) oraz podmioty świadczące usługi drogą elektroniczną 17 gromadzenia również informacji o portach przypisanych do ustalonego adresu IP przez jednoznaczne wskazanie portów źródłowych jako danych identyfikujących zakończenie sieci telekomunikacyjnej, co znacząco wpłynie na możliwości wykrywania tożsamości sprawców w toku prowadzonych postępowań przygotowawczych. Podjęte zostaną prace legislacyjne mające na celu umożliwienie prokuratorom prowadzącym postępowania karne (w tym dotyczących oszustw na pozagiełdowym rynku forex) blokowania stron internetowych, za pośrednictwem których przestępcza działalność jest prowadzona.

Zaproponowane zostaną także rozwiązania prawne w zakresie retencjonowania danych oraz przekazywania informacji i danych przez podmioty świadczące usługi w zakresie kryptoaktywów. Docelowo, w dłuższym horyzoncie czasowym, zaproponowane zostaną mechanizmy prawne umożliwiające "zamrażanie" tych aktywów.

Jednocześnie uchwalenie przepisów zapewniających należyte stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) 18 wprowadzi rozwiązania odnoszące się do egzekwowania odpowiedzialności finansowej platform internetowych, za których pośrednictwem są rozpowszechniane naruszające prawo reklamy (w szczególności reklamy przygotowane przez oszustów, zachęcające do inwestowania w produkty, które nie istnieją), w tym możliwość nakładania adekwatnych kar finansowych na platformy, które wielokrotnie dopuściły się publikacji oszukańczych i dezinformujących treści.

Przygotowane zostaną także rozwiązania legislacyjne, organizacyjne i techniczne służące zwiększeniu ochrony użytkowników internetu przed szkodliwymi i niebezpiecznymi treściami, w tym w szczególności ochrona dzieci i młodzieży (zwalczanie treści przedstawiających wykorzystywanie seksualne dzieci (CSAM), patostreamów, grooming 19 itp.). Uwzględniać to będzie utworzenie i wdrożenie systemu wymiany informacji o wartościach hash (baza HASH) oraz krajowej bazy materiałów przedstawiających wykorzystywanie seksualne dzieci (repozytorium wizerunków CSAM), o których mowa w pkt 2.1.12 i 2.4.2 Krajowego Planu Przeciwdziałania Przestępstwom Przeciwko Wolności Seksualnej i Obyczajności na Szkodę Małoletnich na lata 2023-2026 20 .

Przepisy przeciwdziałające kradzieży tożsamości, w szczególności w zakresie weryfikowania tożsamości klienta bez jego fizycznej obecności przy zastosowaniu środków identyfikacji elektronicznej przy zawieraniu transakcji i korzystaniu z nowych produktów finansowych oraz rejestracji przedpłaconych kart SIM, będą dostosowywane do wyzwań związanych z postępem technologicznym. Zaproponowane zostaną rozwiązania prawne ograniczające masową aktywację kart SIM i wykorzystanie ich w celach niezgodnych z prawem, w tym do sztucznego zwiększania wiarygodności podmiotów czy wspierania działalności zorganizowanych struktur przestępczych i operacji o charakterze hybrydowym.

Dokonany zostanie przegląd przepisów dotyczących odpowiedzialności karnej za część cyberprzestępstw i zaproponowane zostanie ich urealnienie.

Rozwijane będą narzędzia wprowadzone w ustawie z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej 21 , służące przeciwdziałaniu oszustwom wykorzystującym podszywanie się (spoofing 22 ) czy fałszywym wiadomościom tekstowym. Tego rodzaju przestępczość jest szczególnie uciążliwa dla obywateli i prowadzi do obniżenia zaufania zarówno do instytucji publicznych, pod które często podszywają się przestępcy, jak również do legalnie działających przedsiębiorców. Minister właściwy do spraw informatyzacji jest odpowiedzialny za przegląd rozwiązań zawartych w ww. ustawie i w razie potrzeby będzie proponować do niej zmiany służące skutecznemu stosowaniu środków zwalczania nadużyć w komunikacji elektronicznej. W 2026 r. przeprowadzona zostanie ewaluacja wprowadzonych rozwiązań, a kolejne ewaluacje będą przeprowadzane co 2 lata. Pozwoli to na dynamiczne dostosowanie przepisów do zmian w tym obszarze, w szczególności na uwzględnienie nowych metod stosowanych przez cyberprzestępców.

Zaproponowane zostaną rozwiązania pozwalające na monitorowanie i ograniczanie wykorzystania sztucznej inteligencji do działań przestępczych w cyberprzestrzeni, to jest przestępstw terrorystycznych, automatyzacji ataków phishingowych, generowania fałszywych treści, unikania systemów wykrywania zagrożeń.

W zakresie zwalczania cyberprzestępczości zaproponowane zostaną zmiany w ustawach pragmatycznych poszczególnych służb specjalnych, jak również zmiany w ustawie z dnia 6 czerwca 1997 r. - Kodeks karny 23 (Kodeks karny), które docelowo pozwolą na realizację pełnego spektrum działań, w tym w odniesieniu do zagrożeń cyberterroryzmu i cyberszpiegostwa.

Przygotowana zostanie nowelizacja przepisów ustawowych w kierunku wprowadzenia kontratypów działań operacyjnych i analitycznych podejmowanych w cyberprzestrzeni przez funkcjonariuszy służb specjalnych i służb o charakterze policyjnym w zakresie ustawowego wyłączenia bezprawności czynu, w sytuacjach gdy działanie funkcjonariusza odbywa się w ramach jego ustawowych zadań, służy ochronie interesu publicznego oraz podlega określonym warunkom legalności i nadzoru, jak również przy zastosowaniu zasady proporcjonalności oraz objęciu nadzorem przez sąd lub prokuratora. Umożliwi to skuteczne ściganie najpoważniejszych form cyberprzestępczości, zapewniając jednocześnie odpowiednią ochronę prawną osobom realizującym zadania służbowe z użyciem stosownych narzędzi i metod, jednocześnie chronić to będzie przed nadużyciami.

Policja i prokuratura oraz inne właściwe instytucje będą wykorzystywać scentralizowane narzędzia informatyczne zapewniające, że czynności przeciwko jednej grupie przestępców będą prowadzone w jednym miejscu. Współpraca ta będzie realizowana z wykorzystaniem najnowszych narzędzi ICT. Proces zgłaszania cyberprzestępstw zostanie przeorganizowany w taki sposób, aby zapewnić, że więcej poszkodowanych będzie kontaktować się z organami ścigania.

6.2. Wzmocnienie wyspecjalizowanych struktur zwalczania

cyberprzestępczości

Utworzenie Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) w 2021 r. było ważnym krokiem w wyspecjalizowaniu struktur Policji do walki z cyberprzestępczością. CBZC integruje kompetencje techniczne, operacyjne i analityczne, jednak jego skuteczność zależy od współpracy z prokuraturami wyspecjalizowanymi w cyberprzestępczości oraz zrozumienia technologii przez sądy (np. przy orzekaniu w sprawach dotyczących danych cyfrowych, blockchain czy zabezpieczeń elektronicznych). Dlatego też, oprócz dalszego wzmacniania potencjału CBZC, będzie kontynuowane rozszerzanie wyspecjalizowanych jednostek w innych strukturach państwa, w tym w prokuraturze i sądach, aby zapewnić spójność i skuteczność całego systemu.

Tworzony i rozwijany będzie wyspecjalizowany zasób kadrowy, który będzie zajmować się zwalczaniem cyberprzestępczości, a piony zwalczania cyberprzestępczości będą wyposażane w niezbędne narzędzia służące do zbierania i analizowania dowodów, w tym dowodów elektronicznych, w toku prowadzonych postępowań karnych.

Prowadzone będą działania w zakresie integracji wiedzy technicznej i prawnej wśród kadr organów ścigania i wymiaru sprawiedliwości. Zwalczanie cyberprzestępczości łączy aspekty zarówno prawa karnego, informatyki śledczej, prawa dowodowego (np. dopuszczalność i integralność materiału cyfrowego) oraz międzynarodowej współpracy śledczej. Bez wyspecjalizowanych kadr - od policjanta, przez prokuratora, po sędziego - dochodzi do zbyt długich postępowań, nieefektywnego zabezpieczania dowodów, ryzyka uniewinnień z powodów proceduralnych.

Z uwagi na rozwój nowoczesnych technologii i związane z nim pojawianie się nowych podatności, wektorów ataków, usług elektronicznych wykorzystywanych w przestępczym procederze czy nowych sposobów działania sprawców, będzie prowadzone ustawiczne kształcenie zarówno kadr wymiaru sprawiedliwości, Policji i służb specjalnych, jak i tworzenie wyspecjalizowanych komórek organizacyjnych do spraw cyberprzestępczości w prokuraturze oraz Policji.

Prowadzony będzie dalszy rozwój specjalizacji w zakresie ścigania cyberprzestępczości, która na poziomie jednostek organizacyjnych prokuratury powinna przejawiać się przeszkoleniem wytypowanych prokuratorów w zwalczaniu tego rodzaju przestępczości na poziomie prokuratur rejonowych, utworzeniem działów lub wydziałów do spraw cyberprzestępczości w prokuraturach okręgowych oraz regionalnych, w których będą pracować prokuratorzy specjalizujący się w zwalczaniu tego rodzaju przestępczości.

6.3. Podnoszenie zdolności analitycznych organów ścigania, służb specjalnych i wymiaru sprawiedliwości przy wykorzystaniu nowych technologii

Podnoszenie zdolności analitycznych organów ścigania, służb specjalnych i wymiaru sprawiedliwości jest kluczowym elementem skutecznej strategii walki z cyberprzestępczością. Organy ścigania będą wyposażane w możliwości szybkiego i dokładnego analizowania dużych ilości danych z różnych źródeł, takich jak logi serwerów, zapisy ruchu sieciowego czy dane z urządzeń mobilnych. Zaawansowana analiza danych pozwoli na identyfikację wzorców działań przestępczych, co może prowadzić do wykrycia zarówno pojedynczych sprawców, jak i całych grup przestępczych, dodatkowo wykorzystanie analityki predykcyjnej umożliwi prognozowanie przyszłych ataków oraz wykrywanie potencjalnych luk w systemach bezpieczeństwa. Podnoszenie zdolności analitycznych będzie realizowane przez wdrożenie nowoczesnych systemów analizy danych (w tym opartych na sztucznej inteligencji, które mogą automatyzować procesy analizy i przetwarzania informacji). Wykorzystywane do tego będą zaawansowane technologie, takie jak komputery kwantowe do dekodowania zaszyfrowanych danych, śledzenia transakcji w kryptowalutach oraz analizy Darknetu.

Organizowane będą regularne szkolenia dla funkcjonariuszy organów ścigania oraz przedstawicieli wymiaru sprawiedliwości w zakresie nowych technologii, cyberbezpieczeństwa i metod analizy danych, w tym z uwzględnieniem aspektów prawnych. Prowadzona będzie współpraca z uczelniami i firmami technologicznymi w celu podnoszenia kwalifikacji osób zaangażowanych w walkę z cyberprzestępczością.

Równolegle w strukturach organów ściągania wprowadzane będą zmiany organizacyjne, legislacyjne i proceduralne, pozwalające na maksymalne wykorzystanie potencjału nowych technologii.

6.4. Podniesienie skuteczności wymiaru sprawiedliwości i organów ścigania przez wymianę wiedzy i doświadczeń z zakresu cyberbezpieczeństwa oraz metod wykorzystywanych przez sprawców cyberprzestępstw

Podejmowane będą działania edukacyjne mające na celu przekazanie przedstawicielom wymiaru sprawiedliwości i organów ścigania szczegółowej wiedzy zarówno teoretycznej, jak i praktycznej, z zakresu zwalczania cyberprzestępczości. Nabyte umiejętności pozwolą na usprawnienie postępowań karnych, w tym przy wykorzystaniu nowych technologii, oraz wpłyną na poprawę jakości współpracy między wyspecjalizowanymi służbami.

Rozwijana będzie współpraca z Interpolem i Europolem w zakresie zwalczania cyberprzestępczości. W związku z postępującą globalizacją będzie prowadzona działalność szkoleniowa obejmująca współpracę z podmiotami zagranicznymi świadczącymi usługi w internecie, jak i stworzonymi w celu zwalczania cyberprzestępczości.

Rozbudowaniu ulegną również szkolenia dotyczące uzyskania danych od podmiotów zagranicznych, co niejednokrotnie stanowi główną przeszkodę w procesie dowodowym. Ofiarami cyberprzestępstw są podmioty gospodarcze, instytucje użytku publicznego oraz osoby indywidualne. Równolegle z prowadzoną działalnością edukacyjną obejmującą organy ścigania i wymiaru sprawiedliwości będą prowadzone kampanie edukacyjne wśród społeczeństwa informujące o metodach wykorzystywanych przez cyberprzestępców.

6.5. Zwalczanie cyberterroryzmu i cyberszpiegostwa

W celu uzyskania zdolności do zwalczania cyberterroryzmu i cyberszpiegostwa będą podejmowane działania - z wiodącą rolą ABW i Służby Kontrwywiadu Wojskowego (SKW) - polegające na wykrywaniu, analizie oraz przeciwdziałaniu zagrożeniom godzącym w cyberbezpieczeństwo RP oraz państw sojuszniczych. Służby specjalne będą stale wspierane w rozpoznawaniu zagrożeń w cyberprzestrzeni, przez CSIRT poziomu krajowego oraz inne właściwe instytucje państwowe.

Zaproponowane zostaną zmiany w przepisach ustaw regulujących funkcjonowanie służb specjalnych w sposób umożliwiający skuteczne prowadzenie działań operacyjnych w cyberprzestrzeni, przez nadanie stosownych i niebudzących wątpliwości uprawnień do prowadzenia przez służby specjalne działań w zakresie rozpoznawania, przeciwdziałania i zwalczania zagrożeń o charakterze terrorystycznym, jak i działalności obcych służb specjalnych w cyberprzestrzeni. W tym celu zostaną także odpowiednio zmienione przepisy Kodeksu karnego.

Rozbudowany zostanie potencjał służb specjalnych umożliwiający realizację zadań w zakresie cyberbezpieczeństwa, w tym zwalczania cyberterroryzmu i cyberszpiegostwa, przez rozbudowę struktur organizacyjnych, jak również zostanie przyznane niezbędne wsparcie finansowe na realizację nowych zadań.

Opracowany zostanie system umożliwiający skuteczne utrwalanie treści generowanych przez osoby zaangażowane w działalność terrorystyczną wykorzystujące komunikatory internetowe oraz inne środki komunikacji interpersonalnej. W tym celu zostaną zaproponowane niezbędne zmiany prawne oraz zostanie podjęta współpraca z innymi państwami. Stanowić to będzie istotne wsparcie dla organów ścigania i służb odpowiedzialnych za bezpieczeństwo państwa, umożliwiając im skuteczniejsze wykrywanie, monitorowanie i przeciwdziałanie zagrożeniom terrorystycznym w cyberprzestrzeni.

Wypracowane zostaną rozwiązania pozwalające na ograniczenie nieprawidłowości związanych z rejestrowaniem kart SIM z wykorzystywaniem błędnych lub fikcyjnych danych osobowych przez zwiększenie efektywności weryfikacji danych identyfikacyjnych w procesie rejestracji kart SIM, z uwzględnieniem uregulowania rynku odsprzedaży, w tym w serwisach internetowych, oraz wtórnego użytkowania takich kart SIM wraz z możliwością ich blokowania przez operatora. Powyższe przyczyni się także do skuteczniejszego zwalczania innych rodzajów poważnych cyberprzestępstw niż cyberterroryzm i cyberszpiegostwo.

Polskie środowisko naukowe w ramach różnych projektów zostanie zaangażowane w rozwój i wdrażanie nowoczesnych rozwiązań technologicznych na potrzeby zwalczania terroryzmu, jak również w opracowanie rozwiązań informatycznych wspierających wykrywanie narzędzi cyberwywiadowczych wykorzystywanych przez obce służby specjalne m.in. w urządzeniach końcowych, służących pozyskiwaniu informacji od polskich obywateli, w szczególności osób zajmujących stanowiska publiczne.

Jednocześnie rosnące znaczenie technologii dla pozycji strategicznej państwa sprawia, że jednostki naukowo-badawcze i przemysł wysokich technologii są szczególnie narażone na zagrożenia hybrydowe, w tym działania cyberszpiegowskie. Dlatego będą podejmowane działania podnoszące poziom cyberbezpieczeństwa w sektorach naukowym i przemysłowym. W wymiarze cyfrowym państwo będzie podnosić poziom ochrony własności intelektualnej oraz ochronę przed szpiegostwem przemysłowym i technologicznym, szczególnie w zakresie nowych i przełomowych technologii oraz technologii o zastosowaniu w dziedzinie bezpieczeństwa i obronności państwa.

Służby specjalne będą kontynuować działalność ukierunkowaną na pozyskiwanie informacji mających wpływ na bezpieczeństwo zarówno w aspekcie politycznym, obronnym, jak i ekonomicznym. Realizowane będą działania w cyberprzestrzeni, których celem jest uzyskanie informacji o infrastrukturze sieciowej adwersarzy w celu przeciwdziałania i minimalizacji skutków wrogiej aktywności w cyberprzestrzeni wymierzonej w polskie instytucje i podmioty prywatne. Ważnym aspektem będzie także koordynacja działań i wymiana informacji z właściwymi partnerami krajowymi i zagranicznymi.

W powiązaniu z zagrożeniami cyberbezpieczeństwa będą kontynuowane zadania związane z analizowaniem, identyfikowaniem i ograniczaniem rozpowszechniania treści o charakterze propagandowo-dezinformacyjnym wymierzonych w polską przestrzeń informacyjną oraz będą realizowane działania w zakresie przeciwdziałania rozpowszechnianiu w internecie treści o charakterze terrorystycznym. Kampanie dezinformacyjne i operacje informacyjne tworzą zagrożenie dla polskiego społeczeństwa, interesów RP oraz jej pozycji na arenie międzynarodowej. W miarę identyfikacji potrzeb w tym zakresie będą wprowadzane odpowiednie zmiany w przepisach prawa. Realizacja zadań w tym obszarze będzie wspierana przez właściwe inne działy administracji rządowej w celu zapewnienia odpowiedniej wiedzy praktycznej i umiejętności oraz sił i środków na realizację nowych zadań. Ponadto będą zwiększane zdolności do wykrywania wykorzystania mechanizmów sztucznej inteligencji do tworzenia przekazów dezinformacyjnych opartych o treści tekstowe oraz audiowizualne.

6.6. Uzyskanie zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni

Cyberprzestrzeń jest uznana za kolejną domenę, równorzędną w stosunku do domeny morskiej, lądowej, powietrznej i kosmicznej, w której mogą być prowadzone działania operacyjne. Powyższe znalazło odzwierciedlenie w zobowiązaniach, podjętych przez państwa członkowskie NATO w 2016 r., podczas szczytu NATO w Warszawie, określanych jako Cyber Defence Pledge 24 . Ich głównym celem jest wzmocnienie cyberodporności na poziomie krajowym, co jest zbieżne z kierunkiem zmian w obszarze cyberbezpieczeństwa państw UE. Zobowiązania te będą w dalszym ciągu wdrażane, przy uwzględnieniu rekomendacji wynikających z aktualnej oceny stanu cyberbezpieczeństwa na poziomie krajowym.

Cyberprzestrzeń RP jest poddawana licznym działaniom adwersarzy polegającym na rozpoznaniu, próbie przełamania zabezpieczeń aż do kompromitacji sieci i systemów teleinformatycznych podmiotów istotnych dla bezpieczeństwa i obronności państwa. W związku z powyższym SZ RP i służby specjalne będą w dalszym ciągu rozwijać swoje zdolności w zakresie proaktywnej ochrony oraz aktywnej obrony elementów i zasobów cyberprzestrzeni, co jest kluczowe w aspekcie zapewnienia cyberbezpieczeństwa na poziomie krajowym. Takie podejście do obrony wyprzedzającej pozwoli podejmować działania w cyberprzestrzeni, które będą zapobiegać cyberatakom jeszcze przed ich przeprowadzaniem przez zakłócenie wrogich działań.

Jednocześnie precyzyjnie zostaną uregulowane zasady stosowania ofensywnych cybernarzędzi wobec współcześnie wykorzystywanych narzędzi komunikacyjnych, w tym komunikacji interpersonalnej, jak również będzie rozwijany potencjał techniczny w tym zakresie.

Rozwijane i wdrażane będą nowe technologie (w tym sztucznej inteligencji i technologii kwantowych) oraz możliwości wykorzystania technologii podwójnego zastosowania, w celu rozbudowy potencjału SZ RP i służb specjalnych w cyberprzestrzeni. Priorytetowo będą traktowane technologie, rozwiązania i koncepcje, mające na celu identyfikację technik, taktyk i procedur, jakimi operują obecni i przyszli adwersarze, celem przeciwdziałania ich działaniom i ograniczeniu ich oddziaływania, a tym samym niwelowaniu możliwości realizacji przez nich określonych celów w cyberprzestrzeni lub za jej pośrednictwem. Rozbudowywane będą systemy umożliwiające realizację zadań w zakresie monitorowania i wykrywania cyberzagrożeń oraz reagowania na incydenty w systemach wykorzystywanych przez SZ RP i służby specjalne oraz współpracujące z nimi podmioty, zapewniając zarówno ochronę, jak i usuwanie skutków w odpowiednim czasie, tym samym zapewniając odpowiednią stabilność wykorzystywanej przestrzeni cyfrowej i zwiększając odporność na nowe zagrożenia.

W związku ze zmieniającymi się warunkami bezpieczeństwa w cyberprzestrzeni, w tym rosnącym zagrożeniem w domenie informacyjno-psychologicznej, w szczególności natężeniem operacji informacyjnych wymierzonych w obronność państwa, będą prowadzone działania mające na celu podniesienie zdolności SZ RP i służb specjalnych do identyfikacji, przeciwdziałania i reakcji na zagrożenia w tym obszarze.

Kontynuowane będą działania mające na celu rozwój systemu detekcji oraz budowę sieci wymiany informacji o zagrożeniach, co w konsekwencji w znaczącym stopniu zwiększy świadomość sytuacyjną w cyberprzestrzeni.

Rozwijany będzie potencjał osobowy SZ RP i służb specjalnych w obszarze IT, cyberbezpieczeństwa oraz kryptologii, w szczególności przez dostosowywanie istniejących struktur i tworzenie nowych odpowiadających zmieniającym się uwarunkowaniom w cyberprzestrzeni, oraz specjalistyczne szkolenia. Docelowo działania będą zmierzać do zbudowania w ramach resortu obrony narodowej (RON) własnych zdolności do realizacji pełnego spektrum szkoleń w wyżej wymienionych obszarach.

Wdrażane będzie całościowe podejście do procesu zarządzania kompetencjami uwzględniające zdefiniowanie kompetencji dla ról zawodowych oraz szkoleń, zbudowanie ściśle dopasowanych ścieżek szkoleniowych i usystematyzowanie procesu szkolenia. Jako uzupełnienie systemu zarządzania kompetencjami będzie rozwijany projekt potwierdzania kompetencji i certyfikacji. Weryfikacja zdobytej wiedzy i umiejętności oraz zgrywanie zespołów cyberbezpieczeństwa będą prowadzone w ramach specjalistycznych ćwiczeń cyberbezpieczeństwa, zarówno na poziomie krajowym, jak i międzynarodowym. Powyższe przełoży się na efektywny rozwój kompetencji żołnierzy, funkcjonariuszy i pracowników RON oraz służb specjalnych, umożliwiając osiągnięcie zdolności do prowadzenia kompleksowych działań i operacji w domenie cyberprzestrzeni.

W zamówieniach publicznych będą uwzględniane wymogi związane z cyberbezpieczeństwem w odniesieniu do produktów ICT, usług ICT i procesów ICT oraz specyfikacji tych wymogów na potrzeby takich zamówień, w tym w odniesieniu do certyfikacji cyberbezpieczeństwa, obowiązku zastosowania mechanizmów kryptograficznych wykorzystujących powszechnie uznawane normy oraz wykorzystywania produktów z zakresu cyberbezpieczeństwa opartych na otwartym oprogramowaniu.

Zaproponowane zostaną rozwiązania umożliwiające szybkie pozyskiwanie usług i produktów związanych z cyberbezpieczeństwem w pilnych przypadkach związanych z bezpieczeństwem państwa, przy jednoczesnym zachowaniu transparentności procesu zakupowego oraz określeniu szczególnego trybu zastosowania tego rodzaju procedury. Przemawia za tym w szczególności długi czas prowadzenia postępowań zakupowych w stosunku do potrzeby szybkiego reagowania na incydenty. Obejmować to będzie także możliwość zakupu pilnych usług i produktów związanych ze zwalczaniem cyberprzestępczości, w sytuacji uzasadnionej potrzeby szybkiego przeciwdziałania przestępstwu, jego wykrycia lub ścigania sprawców takiego przestępstwa, w przypadku gdy posiadane usługi lub narzędzia informatyczne są niewystarczające.

Wprowadzone zostaną rozwiązania dotyczące zarządzania podatnościami, obejmujące promowanie i ułatwianie skoordynowanego ujawniania podatności.

Podjęte zostaną działania na rzecz zwiększenia cyberbezpieczeństwa systemów i rejestrów państwowych oraz cyfrowych usług publicznych, aby zapewnić obywatelom, przedsiębiorcom i administracji publicznej dostęp do bezpiecznych systemów, rejestrów i usług. Podmioty utrzymujące tego rodzaju systemy, rejestry i usługi będą zapewniać monitorowanie bezpieczeństwa w trybie 24/7 przez zespoły cyberbezpieczeństwa, stałe podnoszenie zdolności do reagowania na incydenty oraz wdrażanie nowych rozwiązań technicznych, proceduralnych i systemowych, jak również przeprowadzanie cyklicznych testów ciągłości działania oraz włączenie aspektów cyberbezpieczeństwa na jak najwcześniejszym etapie rozwoju i utrzymania.

Nowe przepisy prawa regulujące różne dziedziny życia społecznego i gospodarczego będą uwzględniać na etapie projektowania standardy cyberbezpieczeństwa oraz ochrony danych osobowych (w tym użycia biometrii i systemów sztucznej inteligencji), wraz z oceną skutków w tym zakresie.

Kontynuowana i rozszerzana będzie ochrona przed atakami typu DDoS (rozproszona odmowa usługi, Distributed Denial of Service), polegającymi na przeciążeniu serwera, sieci lub usługi internetowej przez zalewanie ich ogromną liczbą zapytań, dla podmiotów realizujących zadania publiczne oraz podmiotów istotnych z punktu widzenia bezpieczeństwa narodowego.

Pełnomocnik będzie aktywnie wydawał rekomendacje i komunikaty z zaleceniami dla podmiotów KSC w związku z wykrytymi podatnościami, cyberatakami i kampaniami w cyberprzestrzeni, co pozwoli minimalizować ich skutki.

Prowadzone będą działania na rzecz wsparcia sektora prywatnego, w tym małych i średnich przedsiębiorstw, w podniesieniu odporności cyfrowej, szczególnie w zakresie bezpieczeństwa łańcuchów dostaw. Rozwijane będą narzędzia wzmacniające podstawowy poziom cyberodporności i higieny cyfrowej małych i średnich przedsiębiorstw przez certyfikację cyberbezpieczeństwa procesów ICT u tych przedsiębiorców. Powstaną mechanizmy wsparcia projektów, których celem jest wdrażanie i stosowanie standardów i systemów zarządzania, które bezpośrednio wpływają na utrzymanie ciągłości działania, bezpieczeństwo informacji i standardy zarządzania cyberbezpieczeństwem.

Większy nacisk zostanie położony na rozwój mechanizmów i narzędzi, które będą przede wszystkim koncentrować się na zapobieganiu incydentom, a nie tylko na ich wykrywaniu i zmniejszaniu skutków.

Realizowane będą działania na rzecz utrzymania ogólnej dostępności, integralności i poufności publicznego rdzenia otwartego internetu, w tym, w stosownych przypadkach, cyberbezpieczeństwa podmorskich kabli komunikacyjnych. Rozwijana będzie współpraca w grupach roboczych na forum

NATO i UE oraz we współpracy z instytucjami NATO i UE w celu przeprowadzenia m.in. skonsolidowanej oceny ryzyka, podatności na zagrożenia i zależności, obejmującej zarówno cyberbezpieczeństwo, jak i bezpieczeństwo fizyczne infrastruktury kabli podmorskich i ich łańcuchów dostaw.

Prowadzone działania na rzecz podnoszenia poziomu cyberbezpieczeństwa będą także uwzględniać newralgiczne kwestie systemów automatyki przemysłowej oraz urządzeń internetu rzeczy (IoT).

W celu zapewnienia cyberbezpieczeństwa odporności systemów informacyjnych będą realizowane działania przeciwdziałające zakłócaniu i podszywaniu się w spektrum elektromagnetycznym w odniesieniu do cyberbezpieczeństwa podmiotów publicznych, IK i innych newralgicznych dla bezpieczeństwa państwa podmiotów.

7.2. Rozwój krajowej kryptologii, w tym migracja do kryptografii postkwantowej oraz rozwój technologii kwantowych

W celu zwiększenia odporności systemów informacyjnych będzie rozwijany krajowy potencjał kryptograficzny, uwzględniający wyzwania kryptografii postkwantowej, w tym zdolność do projektowania i wytwarzania rozwiązań opartych na technikach kryptograficznych, zdolność do oceny ryzyka i działania w sytuacjach kryzysowych oraz zaplecze naukowo-badawcze przygotowane do rozwoju i walidacji technologii kryptograficznych niezależnie od organizacji i instytucji zagranicznych.

Konieczne jest wyselekcjonowanie i wdrożenie podstawowych komponentów kryptograficznych w takich obszarach jak identyfikacja elektroniczna (eID) dla osób fizycznych i prawnych, oparte o wieloskładnikowe źródła tożsamości i technologie tożsamości samodzielnie zarządzanej (Self-Sovereign Identity - SSI), narzędzia do pseudonimowego uwierzytelniania i identyfikacji, narzędzia do znakowania czasem nieoparte o zaufanie do wystawcy, narzędzia do szyfrowania w trybie end-to-end, narzędzia do ochrony obrotu danymi przez stworzenie mechanizmów potwierdzania integralności i pochodzenia dokumentów, zarówno cyfrowych jak i tradycyjnych, oraz ich bezpiecznej replikacji i rozproszenia. Mechanizmy te powinny być dostępne i łatwe do użycia przez osoby o niewielkich umiejętnościach cyfrowych.

Budowany system zaufania wymaga zidentyfikowania i stopniowej eliminacji pojedynczych komponentów typu pojedynczy punkt awarii (single-point-of failure). Konieczne jest rozpraszanie i duplikacja danych. Wymaga to m.in. stworzenia bezpiecznych mechanizmów przetwarzania w chmurze, w tym migracji kluczowych danych do zasobów chmurowych będących pod efektywną kontrolą podmiotów krajowych. Konieczne jest stworzenie rozproszonego ekosystemu zaufania, do którego z łatwością mogłyby wejść dane, które są w posiadaniu wielu niezależnych podmiotów.

Budowane będą mechanizmy zwiększające rozliczalność operacji wykonywanych na danych. Dotyczy to w szczególności rozwoju dostępnych mechanizmów typu technologia rozproszonego rejestru (DLT), ale i rozwoju oraz skali stosowania technik takich jak podpis elektroniczny i pieczęć cyfrowa czy doręczenie elektroniczne.

W obliczu postępu technik kryptoanalitycznych, w tym w szczególności kwantowej, rozwoju możliwości wrogiej kryptografii i możliwości zaszywania wrogich komponentów w produktach sprzętowych i oprogramowaniu, będą rozwijane techniki pozwalające na ograniczanie skuteczności ataków przez alternatywne zabezpieczenia pozwalające co najmniej na wykrycie danych będących rezultatem ataku. Ocenie zostaną poddane nowe standardy i algorytmy kryptograficzne przyjmowane przez zagraniczne gremia pod względem trybu ich wdrażania w RP.

W celu rozwoju krajowych kompetencji technologicznych i przemysłowych będą ustanawiane projekty i programy badawczo-rozwojowe w obszarze technologii kryptograficznych, z uwzględnieniem nowych technologii, takich jak kryptografia post-kwantowa, nowe techniki łączności (w tym rozwiązania kwantowej dystrybucji klucza (QKD)), ale również skoncentrowane na technologiach przydatnych w sytuacjach nadzwyczajnych, takich jak klęski żywiołowe, ataki terrorystyczne lub blokada o charakterze ekonomicznym. Cyberbezpieczeństwo RP będzie wzmacniane przez wykorzystanie potencjału, jakim dysponują podmioty krajowe, w tym służby specjalne. Rozwijane będą mechanizmy współpracy cywilno-wojskowej oraz angażowanie polskiego przemysłu oraz świata nauki w zakresie rozwoju kryptografii i kryptoanalizy. W tym celu RP będzie także prowadzić aktywne działania na arenie międzynarodowej, w tym na forum UE i NATO oraz na płaszczyźnie dwustronnej z kluczowymi partnerami, jednakże przy zachowaniu pełnej kontroli i suwerenności w zakresie kryptografii wykorzystywanej na rzecz bezpieczeństwa narodowego.

7.3. Rozwiązania chmurowe dla wzmocnienia odporności systemów informacyjnych

W celu zwiększenia odporności systemów informacyjnych oraz rozwoju cyfrowego administracji rządowej będą podejmowane działania związane z rozwojem usług przetwarzania w chmurze obliczeniowej. Dotychczas obowiązująca uchwała nr 97 Rady Ministrów z dnia 11 września 2019 r. w sprawie Inicjatywy "Wspólna Infrastruktura Informatyczna Państwa" 25 (Inicjatywa WIIP), regulująca korzystanie przez podmioty administracji rządowej z usług przetwarzania w chmurze obliczeniowej została zmieniona 26 w taki sposób, aby jak najwięcej podmiotów mogło korzystać z usług przetwarzania w Publicznej Chmurze Obliczeniowej. Jest to niezwykle istotne z punktu widzenia bezpieczeństwa państwa, bezpieczeństwa danych i budowania państwa opartego na podejściu Cloud First. W związku z nowelizacją Inicjatywy WIIP zostaną zaktualizowane Standardy Cyberbezpieczeństwa Chmur Obliczeniowych, określone przez ministra właściwego do spraw informatyzacji w porozumieniu z ministrem właściwym do spraw wewnętrznych, Ministrem Obrony Narodowej oraz Ministrem - Członkiem Rady Ministrów, Koordynatorem Służb Specjalnych (MKSS).

Docelowo planuje się, że uchwała RM dotycząca Inicjatywy WIIP zostanie zastąpiona ustawą, która będzie kompleksowo regulowała możliwość korzystania z usług przetwarzania w chmurze przez administrację publiczną. Zapewnienie skutecznych przepisów pozwalających na przetwarzanie danych w chmurze obliczeniowej jest jednym z priorytetów nowoczesnego państwa cyfrowego, które czerpie z doświadczeń międzynarodowych opierających się o sytuację geopolityczną oraz uwzględnia kierunek, jaki obrały w tym zakresie pozostałe państwa członkowskie UE i nie tylko.

Wprowadzenie jednolitych, wysokich standardów ochrony systemów teleinformatycznych i wspieranie podmiotów administracji publicznej w utrzymaniu tych systemów oraz uzyskiwaniu usług niezbędnych do ich budowy, rozwoju i utrzymania przyczyni się do zapewnienia wysokiego poziomu usług świadczonych społeczeństwu przez administrację publiczną. Inicjatywa WIIP zakłada optymalizację istniejących zasobów teleinformatycznych i aplikacji w administracji publicznej przez dostarczanie nowoczesnych i optymalnych kosztowo technologii informatycznych. Wykorzystany model przetwarzania w chmurze może znacznie pomóc urzędom zmagającym się z potrzebą szybkiego dostarczania wysoce niezawodnych, innowacyjnych usług przy wykorzystaniu posiadanych zasobów oraz współpracy z sektorem prywatnym. W Inicjatywie WIIP będą dokonywane niezbędne zmiany zwiększające poziom cyberbezpieczeństwa oraz dostosowujące do nowych rozwiązań technologicznych, w tym szerszej możliwości wykorzystania rozwiązań chmurowych.

Powstanie także osobna chmura do przetwarzania informacji niejawnych (chmura niejawna), chroniona krajowymi rozwiązaniami kryptograficznymi, aby usprawnić dostęp do danych i oprogramowania dla podmiotów realizujących zadania w obszarze bezpieczeństwa i obronności państwa, co zwiększy odporność systemów informacyjnych wykorzystywanych przez te podmioty, jak również usprawni wymianę informacji niejawnych między nimi. W tym celu zostaną wprowadzone odpowiednie zmiany legislacyjne obejmujące odpowiednie zasady i reguły oraz ograniczenia, które pozwolą na zapewnienie odpowiedniego bezpieczeństwa przetwarzanych informacji i wprowadzą obowiązek ich bezwzględnego stosowania przez wszystkie podmioty i organy realizujące zadania związane z ochroną informacji niejawnych. Wszelkie działania związane z utworzeniem chmury niejawnej będą mieć źródło w decyzjach krajowej władzy bezpieczeństwa oraz będą uwzględniać potrzeby wszystkich jednostek objętych tą usługą. Ze względów bezpieczeństwa państwa wszelkie magazyny danych (w tym infrastruktura) zgromadzone w chmurze niejawnej będą własnością RP. Ponadto chmura niejawna będzie organizowana w sposób uniemożliwiający uzależnienie się od jednego dostawcy.

Na bazie doświadczeń z ostatnich konfliktów zbrojnych systemy informatyczne budowane przez państwo będą opracowywane i modyfikowane z założeniem zapewnienia bezpieczeństwa i zachowania ciągłości dostępu do danych w przypadku wystąpienia istotnego zagrożenia bezpieczeństwa państwa lub wojny. Zostanie opracowany "Plan migracji kluczowych systemów informatycznych RP w przypadku wystąpienia kryzysu lub wojny", uwzględniający zasady bezpiecznego, a przede wszystkim poufnego przetwarzania danych w rozwiązaniach chmurowych.

7.4. Rozwój zdolności do skutecznego zapobiegania i reagowania na incydenty cyberbezpieczeństwa

Rozwijane i usprawniane będą mechanizmy koordynacji KSC i należytego zarządzania całym systemem. W tym zakresie będą realizowane przedsięwzięcia w zakresie Pełnomocnika oraz w ramach PCOC. Realizowane będą działania zwiększające zdolności operacyjne instytucji odpowiedzialnych za zapewnianie cyberbezpieczeństwa na poziomie krajowym oraz będą wspierane inicjatywy podnoszące odporność, w tym potencjał do zapobiegania i reagowania na incydenty cyberbezpieczeństwa, podmiotów KSC. Działania w tym zakresie obejmą m.in. środki do rozpoznawania zagrożeń w cyberprzestrzeni, rozwój ochrony przed atakami typu DDoS, oprogramowanie i rozwiązania sprzętowe zwiększające cyberbezpieczeństwo. Część z tych inicjatyw będzie realizowana centralnie przez Pełnomocnika - urząd obsługujący ministra właściwego do spraw informatyzacji na rzecz podmiotów KSC, co pozwoli w sposób bardziej efektywny i ekonomicznie opłacalny zapewniać niezbędne zasoby. Budowane będą wspólne skonsolidowane systemy cyberbezpieczeństwa na potrzeby całej administracji publicznej.

Zaproponowane będą odpowiednie regulacje prawne w zakresie stosowania aktywnej obrony w cyberprzestrzeni, jak również będą rozwijane zdolności operacyjne w tym zakresie. Zagrożenia ze strony państw-adwersarzy i grup przestępczych, często powiązanych z instytucjami wrogo nastawionych państw rodzi konieczność podejmowania działań określanych jako aktywna obrona. W tym celu zostaną wprowadzone regulacje umożliwiające, aby wybrane publiczne podmioty KSC w ramach obsługi incydentu posiadały uprawnienie blokowania ruchu sieciowego atakujących,

np. przez czasowe ograniczenie tego ruchu z adresów IP lub URL, domen i systemów autonomicznych zidentyfikowanych jako przyczyna incydentu. Działania te pozwolą na zmniejszenie szkód spowodowanych cyberatakami przez dostarczanie narzędzi i usług oraz stosowanie odpowiednich taktyk w celu utrudnienia i uniemożliwienia przeprowadzenia cyberataków.

Rozwój zdolności operacyjnych podmiotów KSC będzie zwiększany przez wykorzystanie nowych i przełomowych technologii, w szczególności sztucznej inteligencji, kryptografii post-kwantowej, technologii blockchain, systemów zarządzania dużymi bazami danych, nowych środków łączności oraz rozwiązań chmurowych. Natomiast w wymiarze sprzętowym rozwój zdolności operacyjnych będzie wspierany przez stosowanie zaawansowanej mikroelektroniki, w szczególności przez inwestycje w rozwój kompetencji krajowej bazy technologicznej i przemysłowej, w tym przez działania badawczo-rozwojowe (B+R), aby mogła skutecznie zaspokajać potrzeby najważniejszych instytucji państwowych odpowiedzialnych za cyberbezpieczeństwo oraz sektora prywatnego. Polska będzie w tym celu wykorzystywać możliwości stwarzane przez współpracę międzynarodową (bilateralną oraz na forum UE i NATO).

7.5. Rozwój standaryzacji w cyberbezpieczeństwie

Utworzony zostanie krajowy ośrodek odpowiadający za standaryzację w cyberbezpieczeństwie. Za jego pośrednictwem zostanie wdrożony stały proces monitorowania i analiz stosowalności norm i dokumentów normatywnych (europejskich i międzynarodowych). Stan bieżący wydawanych przez Ministerstwo Cyfryzacji Narodowych Standardów Cyberbezpieczeństwa, będących zbiorem rekomendacji standaryzujących rozwiązania zabezpieczające w sieciach i systemach informacyjnych wykorzystywanych przez podmioty KSC, oraz rekomendacji ramowych i branżowych, w tym rekomendacji dla podmiotów KSC, poddany zostanie przeglądowi i analizie. Podjęta zostanie inicjatywa zebrania, analizy i systematyzacji zaleceń dotyczących stosowania norm, standardów i przepisów technicznych oraz innych dokumentów o charakterze normatywnym bądź kierunkowym, jak rekomendacje i zalecenia. Na podstawie analizy zostanie podjęta decyzja o dalszym rozwoju krajowych norm standaryzacyjnych. Podjęte będą działania dające podstawy formalno-prawne dla wdrożenia zaleceń w podmiotach KSC. Zabezpieczone zostaną środki finansowe, które pozwolą zapewnić odpowiednie zasoby na rzecz wdrażania wyżej określonych zaleceń.

W celu zapewnienia bezpiecznej i optymalnej kosztowo infrastruktury przetwarzania systemów ICT/OT sektora publicznego, która wykorzystuje nowe formy przetwarzania i przechowywania informacji, m.in. przez wykorzystywanie usług chmury obliczeniowej, będą kontynuowane działania w zakresie przygotowania zaleceń i promowania dobrych praktyk, w tym certyfikacji newralgicznych systemów i urządzeń, podnoszących odporność na cyberzagrożenia. Przedstawiane zalecenia związane z najważniejszymi aspektami cyberbezpieczeństwa w krótkiej i powszechnie zrozumiałej formie pozwolą dostarczyć niezbędną wiedzę na temat standardów higieny cyfrowej i cyberbezpieczeństwa dla szerokiego kręgu użytkowników internetu, w tym zalecenia uwzględniające cyberbezpieczeństwo i ochronę danych w fazie projektowania oraz domyślne cyberbezpieczeństwo oraz ochronę danych.

7.6. Współpraca publiczno-prywatna w obszarze cyberbezpieczeństwa

Kontynuowana będzie współpraca w zakresie cyberbezpieczeństwa z sektorem prywatnym w ramach prowadzonego od 2019 r. Programu Współpracy w Cyberbezpieczeństwie (PWCyber) na rzecz KSC. Charakter współpracy w ramach programu jest publiczny, transparentny i pozafinansowy. Formuła programu partnerskiego jest otwarta dla wszystkich podmiotów, w tym także dla organizacji pozarządowych, które chciałyby pracować nad rozwojem systemu cyberbezpieczeństwa RP. Kluczowym obszarem współpracy w ramach partnerstwa jest podnoszenie kompetencji podmiotów KSC w zakresie świadomości zagrożeń, metod ataków w cyberprzestrzeni oraz prawnych, organizacyjnych i technicznych umiejętności przeciwdziałania zagrożeniom w systemach i sieciach teleinformatycznych, jak również wymiana informacji o cyberzagrożeniach.

Pandemia COVID-19, wojny handlowe i technologiczne między mocarstwami, reperkusje agresji zbrojnej Federacji Rosyjskiej na Ukrainę pokazały znaczenie odporności gospodarczej na globalne zawirowania oraz posiadania w krytycznych obszarach niezależności technologicznej oraz możliwości zapewnienia bezpiecznych łańcuchów dostaw. Niestabilność światowego systemu politycznego i ekonomicznego jest związana m.in. z agresywną polityką Federacji Rosyjskiej, ryzykiem konfliktu w Azji Południowo-Wschodniej, która ma kluczowe znaczenie dla światowej gospodarki, szczególnie w zakresie półprzewodników i komponentów elektronicznych.

Podjęte zostaną działania zwiększające bezpieczeństwo łańcuchów dostaw w wymiarze krajowym i międzynarodowym, w tym przez wykorzystanie certyfikacji cyberbezpieczeństwa. Obejmie to zarówno wymiar sprzętowy, jak i oprogramowanie. Realizowane będą inicjatywy zarówno organizacyjno-formalne tworzące w RP sprzyjające środowisko dla tego rodzaju działalności biznesowej, jak i znacząco zwiększone zostaną wydatki na badania i rozwój oraz budowę przemysłowego potencjału produkcyjnego.

Wspierane będą wielkoskalowe inwestycje z państw sojuszniczych i partnerskich. Ma to fundamentalne znaczenie w wymiarze gospodarczym i zacieśnienia relacji z sojusznikami, choć ma ograniczone znaczenie, jeżeli chodzi o budowanie rodzimego potencjału technologicznego i suwerenności w tym zakresie. W związku z tym będą realizowane inwestycje w krajowe, suwerenne zdolności technologiczne i przemysłowe w zakresie m.in. półprzewodników i nowoczesnych technologii sprzętowych i programowych, informatycznych i kryptograficznych, ze szczególnym uwzględnieniem potrzeb bezpieczeństwa i obronności państwa. Będzie to także wnosić wkład w zwiększanie suwerenności UE. Tylko panując w pełni nad technologią w wymiarze sprzętowym i programowym, można zapewnić bezpieczeństwo w warstwie infrastrukturalnej i aplikacyjnej systemów teleinformatycznych, co będzie realizowane przez wprowadzenie obowiązku korzystania z certyfikowanych produktów przy tego typu sprzętach.

W celu zwiększenia odporności łańcucha dostaw oraz wzmocnienia krajowego potencjału technologicznego będzie wspierane wdrażanie prototypowych technologii cyberbezpieczeństwa opracowywanych przez krajowych producentów. Działania te obejmą m.in. ułatwienia zakupowe w zamówieniach publicznych, pilotażowe wdrożenia w instytucjach publicznych oraz wsparcie certyfikacyjne. Wdrożenie takich mechanizmów umożliwi praktyczną weryfikację skuteczności rozwiązań, przyspieszy ich komercjalizację oraz zwiększy udział polskich technologii w krajowym ekosystemie cyberbezpieczeństwa.

Z uwagi na rosnące znaczenie otwartego oprogramowania w infrastrukturze cyfrowej państwa będą wspierane inicjatywy zapewniające krajowe wsparcie techniczne, rozwój i utrzymanie kluczowych komponentów otwartoźródłowych wykorzystywanych w systemach administracji publicznej oraz podmiotów KSC. Wzmocnienie krajowego zaplecza oprogramowania otwartoźródłowego przyczyni się do zwiększenia niezależności technologicznej RP oraz odporności łańcucha dostaw na zagrożenia zewnętrzne.

Ważnym elementem zapewnienia bezpieczeństwa i jakości w łańcuchu dostaw jest ocena i certyfikacja produktów (w szczególności oprogramowania, urządzeń i usług) oraz procesów. KSCC umożliwia ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych oraz określenie sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.

W celu zwiększenia odporności KSC oraz wsparcia rozwoju krajowych kompetencji technologicznych będzie promowane wykorzystywanie przez podmioty objęte ustawą o KSCC prototypów krajowych technologii cyberbezpieczeństwa. Takie podejście umożliwi testowanie i doskonalenie rozwiązań w rzeczywistym środowisku operacyjnym, wspierając jednocześnie rozwój krajowego rynku cyberbezpieczeństwa.

Wzmacniane będzie cyberbezpieczeństwo systemów teleinformatycznych oraz urządzeń i komponentów używanych w poszczególnych sektorach KSC. Organy właściwe i CSIRT-y sektorowe, we współpracy z innymi podmiotami KSC, będą wypracowywać rekomendacje mające na celu wzmocnienie cyberbezpieczeństwa, w tym np. co do wymogów cyberbezpieczeństwa, jakie powinny spełniać urządzenia i oprogramowanie stosowane w nowoczesnych systemach stosowanych w poszczególnych sektorach. W szczególności dotyczyłoby to nowych urządzeń ICT i OT (w tym nowe technologie typu smart, jak np. nowych typów źródeł energii oraz technologie wykorzystujące algorytmy sztucznej inteligencji), które mają stać się częścią instalacji technologicznych stosowanych w sektorze.

Dzięki uchwaleniu ustawy o KSCC system ten będzie wspierał procesy wydawania certyfikatów cyberbezpieczeństwa w europejskich programach certyfikacji cyberbezpieczeństwa, które będą uznawane na terenie całej UE. Jednostki oceniające zgodność oraz certyfikowane produkty ICT, usługi ICT i procesy ICT będą objęte nadzorem krajowego organu do spraw certyfikacji cyberbezpieczeństwa, którym będzie minister właściwy do spraw informatyzacji. W ramach tego nadzoru będzie możliwe prowadzenie niezależnych badań produktów pod kątem tego, czy stale spełniają one wymagania zawarte w programie certyfikacji. Dzięki takim certyfikatom podmioty kluczowe i podmioty ważne będą mogły zadbać o wybór właściwych produktów i usług zapewniających właściwy dla danego zastosowania poziom cyberbezpieczeństwa. Równocześnie ustawa o KSCC tworzy podstawy do tworzenia krajowych schematów certyfikacji cyberbezpieczeństwa, dzięki którym będzie możliwa promocja cyberbezpiecznych rozwiązań w obszarach nieobjętych przez europejskie programy certyfikacji. Co więcej, będą one również wspierać stosowanie bezpiecznych rozwiązań w obszarach uznanych za istotne przez ministra właściwego do spraw informatyzacji oraz inne organy właściwe.

Dla zapewnienia skuteczności systemu certyfikacji cyberbezpieczeństwa będą rozwijane zdolności do certyfikacji oraz prowadzenia ocen bezpieczeństwa, odpowiednio, w jednostkach certyfikujących i laboratoriach badawczych znajdujących się w państwowych instytutach badawczych. Pierwszym krokiem w tym obszarze będzie dostosowanie obecnych programów certyfikacyjnych do europejskiego programu certyfikacji opartego na wspólnych kryteriach (EUCC). W dalszej kolejności będzie rozwijana zdolność do certyfikacji w ramach kolejnych europejskich i krajowych programów certyfikacji cyberbezpieczeństwa, w tym EUCS (Europejski system certyfikacji cyberbezpieczeństwa dla usług chmurowych) oraz EU5G (Europejski system certyfikacji cyberbezpieczeństwa dla 5G).

Certyfikacja jest istotnym elementem zapewnienia bezpiecznego łańcucha dostaw, w tym ograniczania ryzyka instalowania "tylnych wejść" (backdoorów), w szczególności w odniesieniu do sprzętu wykorzystanego na potrzeby bezpieczeństwa i obronności państwa, IK oraz podmiotów kluczowych i podmiotów ważnych. Jednocześnie konieczny jest także instrument umożliwiający wykluczanie produktów ICT, rodzajów usług ICT lub konkretnych procesów ICT pochodzących od dostawcy wysokiego ryzyka, według ściśle określonych kryteriów i w sytuacji gdy zajdą do tego uzasadnione powody. Odpowiedni mechanizm prawny pozwalający na uznanie określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych za dostawcę wysokiego ryzyka zostanie wprowadzony do krajowego porządku prawnego przez nowelizację ustawy o KSC. Rozwiązanie to pozwala na zapewnienie bezpieczeństwa narodowego w zakresie ochrony ważnego interesu państwowego.

Zaradzenie ryzyku wynikającemu z łańcucha dostaw danego podmiotu i jego powiązań z dostawcami jest szczególnie istotne z uwagi na częstość incydentów, w których podmioty są ofiarami cyberataków i w których agresorzy są w stanie złamać zabezpieczenia sieci i systemów informatycznych danego podmiotu, wykorzystując podatności występujące w produktach i usługach podmiotów trzecich (w tym małych i średnich przedsiębiorstwach). Wszystkie podmioty kluczowe i podmioty ważne będą musiały w ramach swoich systemów zarządzania bezpieczeństwem informacji uwzględnić kwestię bezpieczeństwa łańcucha dostaw. W związku z tym wypracowane zostaną narzędzia, które będą wspierać podmioty kluczowe i podmioty ważne, zarówno publiczne, jak i prywatne, w realizacji tych obowiązków.

W celu ograniczenia ryzyka związanego z wykorzystaniem komponentów ICT pochodzących od dostawców wysokiego ryzyka będą rozwijane mechanizmy oceny bezpieczeństwa produktów i usług w całym łańcuchu dostaw. W szczególności będzie wspierane stosowanie krajowych i europejskich schematów certyfikacji cyberbezpieczeństwa, a także rozwój narzędzi do analizy pochodzenia, integralności i podatności komponentów sprzętowych i programowych. Działania te umożliwią podejmowanie świadomych decyzji zakupowych przez podmioty publiczne i prywatne oraz zwiększą przejrzystość i bezpieczeństwo infrastruktury cyfrowej RP.

Szerzej będzie wykorzystywany także mechanizm rekomendacji Pełnomocnika, w tym w zakresie konieczności aktualizacji bądź wykluczenia oprogramowania ze zidentyfikowanymi podatnościami. Podjęte zostaną działania mające na celu należyte i najbardziej efektywne stosowanie w polskim porządku prawnym rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności) 27 . Pozwoli to na ustanowienie standardów w zakresie zasad cyberbezpieczeństwa urządzeń łączących się z internetem, zwłaszcza w obszarze internetu rzeczy (IoT). Producenci sprzętu i oprogramowania zostaną zobowiązani do spełnienia szeregu kluczowych wymogów, m.in.:

1) zapewnienia, że ewentualne podatności na zagrożenia będą skutecznie usuwane przez okres przewidywanego użytkowania produktu lub przez 5 lat od wprowadzenia go na rynek;

2) niezwłocznego zgłaszania (w ciągu 24 godzin) zidentyfikowanych usterek produktów lub usług do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA);

3) uwzględniania zasad cyberbezpieczeństwa na etapie projektowania towarów i usług.

Uregulowana zostanie kwestia związana z wykorzystaniem w zamówieniach publicznych certyfikatów cyberbezpieczeństwa. Na rynku obecne są bardzo liczne certyfikaty, których wartość potrafi diametralnie się różnić. Z tego względu ustawa o KSCC umożliwia wyróżnienie w tym procesie określonych certyfikatów, np. wydanych w ramach europejskiego programu certyfikacji cyberbezpieczeństwa EUCC czy certyfikatów wydanych w ramach innych europejskich programów certyfikacji cyberbezpieczeństwa, w szczególności przez wprowadzenie obowiązku posiadania tego typu certyfikatów w przypadku realizacji określonej kategorii zakupów dla podmiotów KSC.

Istotnym elementem wzmocnienia suwerenności technologicznej będzie wdrożenie systemu oceny zgodności urządzeń radiowych z zasadniczymi wymaganiami dotyczącymi cyberbezpieczeństwa określonymi w dyrektywie Parlamentu Europejskiego i Rady 2014/53/UE z dnia 16 kwietnia 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących udostępniania na rynku urządzeń radiowych i uchylającej dyrektywę 1999/5/WE 28 (Dyrektywa RED), tak aby zapewnić krajowym producentom możliwości konkurowania na rynku UE.

8.2. Stymulowanie badań, rozwoju i innowacji w obszarze cyberbezpieczeństwa

Wspierany i stymulowany będzie rozwój polskiego potencjału przemysłowego, technologicznego i naukowego w zakresie cyberbezpieczeństwa, w tym z udziałem spółek Skarbu Państwa. Realizowane będą programy oraz projekty badawczo-rozwojowe i innowacyjne w dziedzinie cyberbezpieczeństwa, które pozwolą na budowę krajowych kompetencji technologicznych i przemysłowych oraz zwiększenie technologicznej i cyfrowej suwerenności kraju, a także będą wnosić wkład w zwiększanie suwerenności

UE. Jako główny wehikuł realizacji B+R posłuży Narodowe Centrum Badań i Rozwoju (NCBR), jednak działania w tym zakresie mogą być także realizowane w innych formatach, w tym w ramach poszczególnych ministerstw. Zwiększone zostaną także środki finansowe na realizację projektów B+R w dziedzinie cyberbezpieczeństwa, w tym na realizację projektów niejawnych.

W celu zapewnienia cybersuwerenności i stymulowania rozwoju sektora cyberbezpieczeństwa będą prowadzone prace nad stworzeniem polskich rozwiązań cyberbezpieczeństwa, zarówno sprzętowych, jak i programowych. Zintensyfikowane będą prace nad stworzeniem krajowego potencjału przemysłowego cyberbezpieczeństwa, pozwalającego m.in. na tworzenie mikroprocesorów i innego rodzaju układów scalonych, modułów pamięci, mikrokontrolerów, układów kryptograficznych programowalnych urządzeń sieciowych oraz algorytmów uczenia maszynowego, które zapewnią, że w przypadku technologicznego odcięcia będzie możliwe utrzymanie i rozwój technologii kluczowych z punktu cyberbezpieczeństwa i suwerenności państwa.

Na potrzeby cyberbezpieczeństwa będą przeprowadzane inwestycje w dalszy rozwój przełomowych technologii, w tym sztucznej inteligencji, technologii kwantowych, technologii blockchain, chmury obliczeniowej, dużych systemów bazodanowych, sieci i środków łączności nowych generacji (w tym 5G i 6G), IoT.

Organizacja współpracy instytucji odpowiedzialnych za bezpieczeństwo państwa z jednostkami naukowymi i badawczo-rozwojowymi, organizacjami komercjalizującymi wyniki badań naukowych i prac rozwojowych oraz ośrodków analitycznych będzie ukierunkowana na bezpośrednie wykorzystywanie technologii przełomowych na rzecz cyberbezpieczeństwa, w tym przez podmioty KSC.

W ramach krajowego systemu innowacji będą rozwijane rozwiązania na potrzeby cyberbezpieczeństwa. Wspierane będą też w różnych formach polskie startupy z branży cyberbezpieczeństwa. Wykorzystane zostaną parki technologiczne, akceleratory technologiczne, cyfrowe ośrodki innowacji oraz mechanizmy wsparcia finansowego, w tym fundusze venture capital, co umożliwi wsparcie rozwoju rodzimych start-upów działających w obszarze cyberbezpieczeństwa oraz zapewnienie ochrony przed ich przejęciem przez obcy kapitał, szczególnie z państw uznawanych jako nieprzyjazne. Działania wspierające stymulowanie rozwoju i innowacji w obszarze cyberbezpieczeństwa będą obejmować takie inicjatywy jak hackathony, wyzwania technologiczne, konkursy czy inicjatywy związane z wykrywaniem i ujawnianiem podatności (bug bounty). Wsparcie obejmie badania i wdrożenia w zakresie cyberbezpieczeństwa technologii przełomowych, nowych algorytmów, które mogą zbudować obecność polskich przedsiębiorców na rynkach światowych dla nowych produktów cyberbezpieczeństwa. Stymulowanie innowacji będzie skuteczne wyłącznie, gdy zaakceptuje się fakt, że część projektów nie osiągnie zakładanych celów. Działania wspierające będą uwzględniać istotne ryzyko związane z tworzeniem nowatorskich technologii.

Prowadzona będzie promocja sektora cyberbezpieczeństwa, aby stwarzać nowe możliwości rozwoju dla polskich firm z tego sektora.

Instytucje publiczne i spółki Skarbu Państwa, w ramach dopuszczonych prawem form, w tym przy poszanowaniu reguł rynku wewnętrznego UE, będą ukierunkowywać swoje działania, aby korzystać przede wszystkim z rozwiązań cyberbezpieczeństwa rodzimych polskich firm, w przypadku gdy są one konkurencyjne i spełniają wymagania zamawiającego. Pozwoli to zbudować w RP silne marki i sektor cyberbezpieczeństwa oraz będzie wspierać ekspansję zagraniczną polskich przedsiębiorstw z branży cyberbezpieczeństwa, a także przełoży się na wzmocnienie suwerenności państwa w zakresie technologii oraz strategicznej autonomii decyzyjnej. Przyczyni się to także do uniezależnienia od wielkich zagranicznych korporacji technologicznych. Jednocześnie będą podejmowane działania, aby przyciągać do RP zagraniczne inwestycje związane z cyberbezpieczeństwem.

Na potrzeby rozwoju krajowego potencjału w obszarze cyberbezpieczeństwa będzie wspierany udział polskich podmiotów przemysłowych i naukowo-badawczych w międzynarodowych programach badawczo-rozwojowych i innowacyjnych w zakresie cyberbezpieczeństwa, w szczególności w ramach UE i NATO (w dziedzinie cyfryzacji oraz bezpieczeństwa i obronności), jak również będą podejmowane działania na rzecz wykorzystania wyników tych inicjatyw na rzecz krajowego cyberbezpieczeństwa.

Działalność Europejskiego Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa (ECCC) wraz z siecią krajowych ośrodków koordynacji (w tym polskim Krajowym Centrum Kompetencji Cyberbezpieczeństwa (NCC-PL)) będą prowadzić działania w celu zwiększenia unijnej suwerenności technologicznej przez wspólne inwestycje w strategiczne projekty w zakresie cyberbezpieczeństwa, co wpłynie pozytywnie na utrzymanie doskonałości badawczej i wzmocnienie konkurencyjności przemysłu UE w tej dziedzinie.

W ramach działalności NCC-PL tworzona jest Społeczność kompetentna, rozumiana jako duża, otwarta, interdyscyplinarna i zróżnicowana grupa europejskich interesariuszy, zaangażowanych w rozwój cyberbezpieczeństwa, o której mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2021/887 z dnia 20 maja 2021 r. ustanawiającym Europejskie Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa oraz sieć krajowych ośrodków koordynacji 29 . W skład Społeczności kompetentnej wchodzą interesariusze prowadzący badania naukowe, reprezentujący: sektory przemysłu, biznesu, akademicki i sektor publiczny, którzy mają przyczyniać się do utrzymywania i rozwoju zdolności technologicznych i przemysłowych w dziedzinie cyberbezpieczeństwa, niezbędnych do zabezpieczenia jednolitego rynku cyfrowego UE. Wzmocnione zostaną w ten sposób zdolności RP i UE. Będzie to również odpowiedź na wyzwania stojące przed Europą w obszarze cyberbezpieczeństwa dzięki transgranicznej i międzysektorowej współpracy podmiotów posiadających wiedzę specjalistyczną w obszarze cyberbezpieczeństwa.

Niezbędne jest podejmowanie i kontynuowanie działań mających na celu zwiększenie świadomości i wiedzy oraz wzmocnienie kompetencji kadr podmiotów KSC. Prowadzone będą inicjatywy szkoleniowe dla podmiotów krajowego systemu cyberbezpieczeństwa, w tym w ramach PWCyber. Szkolenia zapewnią wzrost kompetencji cyfrowych z obszaru cyberbezpieczeństwa kadr podmiotów KSC i zwiększą świadomość oraz kulturę cyberbezpieczeństwa jako integralnego elementu funkcjonowania w cyfrowej rzeczywistości. Inicjatywy szkoleniowe podniosą poziom wiedzy i umiejętności uczestników zarówno w wymiarze ogólnym, jak i specjalistycznym, co jest kluczowe dla skutecznego przeciwdziałania zagrożeniom w cyberprzestrzeni. Działania szkoleniowe będą obejmować też implikacje prawnomiędzynarodowe w odniesieniu do działań w cyberprzestrzeni.

Administracja publiczna jako jeden z filarów KSC wymaga stałego podnoszenia świadomości cyberzagrożeń. Dlatego będą organizowane szkolenia z higieny cyfrowej dla kadr administracji publicznej mające na celu zwiększenie ich wiedzy na temat zagrożeń oraz sposobów ich unikania, co jest niezbędne w kontekście zabezpieczania informacji publicznych. Realizowane będą także działania prewencyjno-edukacyjne skierowane do najważniejszych osób w państwie, w tym parlamentarzystów oraz osób sprawujących wysokie funkcje publiczne, aby zapewnić odpowiedni poziom ochrony na najwyższych szczeblach władzy.

Równie ważne jest podnoszenie wiedzy i świadomości wśród kadr administracji samorządowej, ponieważ to na poziomie lokalnym często dochodzi do pierwszego kontaktu z cyberzagrożeniami. Z tego powodu będą organizowane projekty i przedsięwzięcia edukacyjne, które mają na celu zwiększenie ich kompetencji w zakresie cyberbezpieczeństwa. Zarówno w przypadku przedstawicieli władzy wykonawczej, ustawodawczej, jak i JST, zakłada się kontynuację działań prewencyjno-edukacyjnych z zakresu cyberbezpieczeństwa prowadzonych jako projekt SecureV dotyczący szkoleń cyberbezpieczeństwa dla najważniejszych osób w państwie oraz budowania kompetencji w zakresie tworzenia kultury cyberbezpieczeństwa w JST. Projekt ten będzie rozwijany

m.in. o kolejne grupy odbiorców, aby zwiększyć odporność Rzeczypospolitej Polskiej na zagrożenia w przestrzeni cyfrowej.

Podejmowane przedsięwzięcia na rzecz podnoszenia świadomości cyberzagrożeń będą dotyczyć nie tylko działań edukacyjnych i szkoleniowych, ale obejmować będą również symulowane testy socjotechniczne, które będą mogły być wspierane przed podmioty KSC na rzecz zainteresowanych jednostek sektora publicznego i przedsiębiorstw.

Równolegle do szkoleń przeznaczonych dla szerokiego grona odbiorców, w tym przede wszystkim podmiotów KSC, zostanie rozwinięty system certyfikacji kompetencji oraz przygotowujących do tej certyfikacji szkoleń przeznaczonych także dla kadry zarządzającej podmiotów kluczowych i podmiotów ważnych. Jednocześnie zostanie przygotowany program certyfikacji dla pracowników administracji publicznej i JST.

Jednym z elementów wpisujących się w powyższe cele będzie również zbudowanie systemu certyfikacji kompetencji z zakresu cyberbezpieczeństwa, służącego weryfikacji wiedzy i umiejętności osób realizujących zadania z zakresu cyberbezpieczeństwa, przede wszystkim w podmiotach publicznych.

W celu ograniczenia odpływu specjalistów do spraw cyberbezpieczeństwa z sektora publicznego zostaną utrzymane rozwiązania, które zapewniają konkurencyjne wynagrodzenia w stosunku do sektora prywatnego oraz szkolenia specjalistyczne. W ramach realizacji tego celu do polskiego porządku prawnego wprowadzono ustawę z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa 30 , której głównym celem jest wsparcie działań zmierzających do zapewnienia ochrony systemów teleinformatycznych przed cyberzagrożeniami przez finansowanie świadczeń teleinformatycznych, które są dodatkami do wynagrodzenia za pracę, a w przypadku funkcjonariuszy i żołnierzy zawodowych świadczeniem pieniężnym. Jednakże, aby ograniczyć uznaniowy charakter świadczenia teleinformatycznego finansowanego ze środków Funduszu Cyberbezpieczeństwa, zostaną podjęte prace nad zmodyfikowaniem formuły tego Funduszu.

Prowadzona będzie ścisła współpraca w tym obszarze z ECCC, ENISA i innymi instytucjami, organami i agencjami UE (EUIBA) w związku z prowadzonymi działaniami tych podmiotów mającymi na celu wzmocnienie i rozwój kompetencji wśród osób realizujących zadania w obszarze cyberbezpieczeństwa.

9.2. Rozwój świadomości i wiedzy obywateli i przedsiębiorców z zakresu cyberbezpieczeństwa

W obliczu dynamicznie zmieniającej się sytuacji w cyberprzestrzeni oraz rosnącej liczby zagrożeń niezwykle ważne jest podnoszenie kompetencji w zakresie cyberbezpieczeństwa wśród wszystkich użytkowników internetu. Realizowane będą działania w zakresie kształcenia i szkolenia w dziedzinie cyberbezpieczeństwa, podnoszenia umiejętności oraz świadomości z zakresu cyberbezpieczeństwa, włączając w to dobre praktyki oraz higienę cyfrową, jak również kwestie prywatności i ochrony danych osobowych w internecie. Kampanie społeczne mające na celu zwiększenie świadomości cyberzagrożeń oraz promowanie bezpiecznych praktyk cyfrowych są niezbędne, aby dotrzeć do jak najszerszego grona odbiorców. Działania edukacyjne będą dopasowane do różnych grup użytkowników internetu, uwzględniając ich specyfikę.

Edukacja w tym zakresie musi rozpoczynać się już na etapie przedszkolnym, dlatego programy kształcenia w szkołach będą obejmować edukację w zakresie cyberbezpieczeństwa, w tym także w zakresie prywatności i ochrony danych osobowych w internecie, w odpowiednio dostosowanej formie. Programy nauczania informatyki w szkołach podstawowych i ponadpodstawowych zostaną zmodyfikowane tak, aby uwzględniały podstawowe zasady zapobiegania oraz reagowania na różnego rodzaju cyberzagrożenia.

Zapewnione zostanie również kształcenie w zakresie cyberbezpieczeństwa przez wprowadzenie nowego zawodu w systemie kształcenia zawodowego, tj. technika cyberbezpieczeństwa. Technik cyberbezpieczeństwa będzie odpowiedzialny za ochronę systemów informatycznych, sieci komputerowych oraz usług i aplikacji, przed zagrożeniami cyfrowymi. Jego zadaniem będzie zapewnienie poufności, integralności i dostępności danych oraz ciągłości działania systemów informatycznych w organizacjach publicznych i prywatnych.

Realizowane będą również dodatkowe projekty edukacyjne skierowane do dzieci i młodzieży, a także nauczycieli, pedagogów, psychologów, rodziców i opiekunów, ze szczególnym uwzględnieniem aktualnych trendów, które zagrażają dzieciom i młodzieży, pełniące bardzo istotną rolę w przygotowaniu dziecka do bezpiecznego uczestnictwa w świecie cyfrowym. Informacje dotyczące cyberbezpieczeństwa będą również przekazywane osobom młodym objętym oceną kompetencji cyfrowych realizowaną przez urzędy pracy.

Wzmocnieniu ulegnie kształcenie akademickie w zakresie cyberbezpieczeństwa, co zapewni przyszłym specjalistom solidne podstawy teoretyczne i praktyczne. Instytucje akademickie i naukowe otrzymają wsparcie w opracowywaniu, usprawnianiu i propagowaniu wprowadzania narzędzi z zakresu cyberbezpieczeństwa oraz bezpiecznej infrastruktury sieciowej. W kształceniu akademickim podmioty KSC będą wspierały wiedzą i doświadczeniem budowanie świadomości w zakresie odporności na cyberzagrożenia przez wykłady przedstawiające realne i praktyczne wyzwania stojące w tym obszarze przed studentami w ich życiu prywatnym, akademickim, jak i przyszłym życiu zawodowym. Wspierany będzie potencjał jednostek naukowo-badawczych, aby skuteczniej opracowywały nowe technologie i je komercjalizowały oraz efektywnie współpracowały z przedsiębiorstwami.

Kampanie informacyjno-edukacyjne będą adresowane również do seniorów, którzy wymagają podniesienia świadomości na tematy związane z różnego rodzaju oszustwami internetowymi, m.in. wyłudzaniem danych wrażliwych (tzw. phishing), podszywaniem się pod zaufane podmioty (tzw. spoofing), a które także będą uczulać seniorów na stosowane przez oszustów socjotechniki i manipulacje. W tym zakresie będą realizowane również kampanie edukacyjne uwzględniające potrzeby osób z niepełnosprawnościami. Realizowane kampanie edukacyjne będą dostosowane do specyfiki poszczególnych grup docelowych (w tym młodzieży, seniorów, osób z niepełnosprawnościami, przedsiębiorców) oraz będą uwzględniały wymogi dostępności komunikacyjnej dla osób ze specjalnymi potrzebami.

Realizowane będą działania wspierające rozwój kadr w polskich firmach z branży cyberbezpieczeństwa. Realizowane będą kampanie docierające do polskich przedsiębiorców i ich pracowników upowszechniające wiedzę o technologiach cyberbezpieczeństwa. Planowanym rezultatem kampanii będzie podniesienie wśród przedsiębiorców kompetencji cyberbezpieczeństwa. Działania skierowane do małych i średnich przedsiębiorców będą podzielone na wiele warstw i będą dotyczyły problemów zarówno mikroprzedsiębiorców, jak i małych i średnich firm. Zostaną przygotowane również usługi cyfrowe mające na celu sprawdzenie poziomu dojrzałości cyfrowej i cyberbezpieczeństwa dla małych i średnich przedsiębiorstw, wsparcie producentów technologii informacyjnych we wdrożeniu wymagań wynikających z CRA oraz ocena, czy działalność firmy podlega regulacjom NIS2, które zostaną wdrożone przez nowelizację ustawy o KSC.

Prowadzone będą działania wzmacniające cyberbezpieczeństwo i promujące higienę cyfrową wśród przedsiębiorstw. Rozwijane będą już istniejące programy certyfikacji cyberbezpieczeństwa, w tym Firma Bezpieczna Cyfrowo, które mają na celu podniesienie poziomu ochrony w sektorze małych i średnich przedsiębiorstw, jak i podniesienie stabilności obrotu gospodarczego w kraju, a także upowszechnienie i wdrożenie nowego standardu cyberbezpieczeństwa w firmach. Prowadzone będą również kampanie edukacyjne mające na celu zwiększenie poziomu świadomości polskich przedsiębiorstw na temat cyberbezpieczeństwa. Działania w tym obszarze będą też wspierane przez rozwój kierunków na uczelniach wyższych, formy partnerstwa publiczno-prywatnego, rozwój ISAC i ośrodków kompetencji cyberbezpieczeństwa, współpracę ze szkołami ponadpodstawowymi, tak aby zainteresować młodzież potencjałem branży cyberbezpieczeństwa. Dostępna baza wiedzy o cyberbezpieczeństwie na rządowym portalu gov.pl będzie stale rozwijana, oferując wsparcie i informacje z zakresu cyberbezpieczeństwa, co umożliwi użytkownikom internetu szybki dostęp do potrzebnych zasobów edukacyjnych. Realizacja tych inicjatyw jest niezbędna, aby skutecznie budować kompetencje, wiedzę oraz świadomość zagrożeń i wyzwań w cyberprzestrzeni, co jest kluczowe dla bezpieczeństwa całego kraju. W ramach rozwoju bazy wiedzy o cyberbezpieczeństwie na portalu gov.pl,

będą publikowane informacje z obszaru cyberbezpieczeństwa, w tym ostrzeżenia o bieżących zagrożeniach, poradniki, rekomendacje i standardy cyberbezpieczeństwa. Ponadto będą zamieszczane tam również informacje o realizowanych szkoleniach online wraz z możliwością zapisów na nie.

Z uwagi na fakt, że cyberprzestrzeń jest obszarem strategicznej konkurencji, zagrożenie dla bezpieczeństwa i obrony wzrasta w czasie pogłębiających się geopolitycznych napięć i coraz większej zależności od technologii cyfrowych. Znaczące pogorszenie się sytuacji bezpieczeństwa w wymiarze globalnym i europejskim, rosnąca skala cyberataków ze strony państw nieprzyjaznych, grup powiązanych ze strukturami państwowymi (APT) i haktywistycznych oraz międzynarodowych grup cyberprzestępczych, prowadzone w cyberprzestrzeni działania hybrydowe i terrorystyczne, sprawiają, że współpraca międzynarodowa, zwłaszcza wśród państw sojuszniczych oraz podzielających podobne wartości, jest ważna, jak nigdy dotąd.

Partnerzy podzielający wspólne wartości odgrywają istotną rolę w utrzymywaniu globalnej, otwartej, stabilnej i bezpiecznej cyberprzestrzeni i mogą zwiększyć zdolność RP, NATO i UE do przeciwdziałania szkodliwym zachowaniom w cyberprzestrzeni, zniechęcania do takich zachowań, ich powstrzymywania oraz reagowania na nie. Polska pozostaje otwarta na szeroko zakrojoną, ambitną i korzystną dla wszystkich zaangażowanych stron współpracę w obszarze bezpieczeństwa i obrony, w tym cyberobrony, z partnerami. RP będzie brać udział w pracach mających na celu redefinicję norm prawa międzynarodowego - zarówno prawa wojny, jak i prawa konfliktów zbrojnych - do nowego środowiska walki, jakim stała się cyberprzestrzeń lub tworzenie w tym obszarze nowych norm konwencyjnych. Ponadto będzie dążyć do zwiększenia polskiej obecności w strukturach międzynarodowych, w tym międzynarodowych strukturach wojskowych.

UE i jej państwa członkowskie muszą jeszcze bardziej wzmocnić swoją odporność na zagrożenia cyberbezpieczeństwa i zwiększyć wspólne cyberbezpieczeństwo i cyberobronę przed szkodliwymi zachowaniami w cyberprzestrzeni. RP będzie aktywnie uczestniczyć w pracach UE podnoszących cyberbezpieczeństwo w Europie, w szczególności w wymiarze legislacyjnym. W ramach NATO RP będzie podejmować działania służące wzmacnianiu zdolności obronnych, skuteczności i spójności Sojuszu, w szczególności w obszarach obrony kolektywnej i odstraszania. Ponadto zintensyfikowana zostanie współpraca z organizacjami międzynarodowymi w celu wzmocnienia bezpieczeństwa międzynarodowego i stabilności w cyberprzestrzeni oraz promowania przestrzegania prawa międzynarodowego, w tym ochrony praw człowieka i podstawowych wolności w cyberprzestrzeni. RP będzie się także angażować na rzecz bezpieczeństwa cyfrowego w ramach prac prowadzonych w ONZ, Organizacji Bezpieczeństwa i Współpracy w Europie (OBWE), Organizacji Współpracy Gospodarczej i Rozwoju (OECD) oraz innych organizacji międzynarodowych i formatów współpracy międzynarodowej.

RP będzie współpracować na rzecz cyberbezpieczeństwa w ramach współpracy wielostronnej i dwustronnej. Szczególnie istotnymi partnerami będą Stany Zjednoczone Ameryki, Wielka Brytania, inne pozaeuropejskie państwa podzielające wspólne wartości dotyczące cyberbezpieczeństwa i państwa członkowskie UE oraz państwa kandydujące do UE (w tym Ukraina). RP będzie dążyła do zawiązywania dostosowanych do indywidualnych potrzeb partnerstw w obszarze cyberbezpieczeństwa, jeżeli będą one przynosiły partnerom wzajemne korzyści. W celu zwiększenia naszych możliwości odstraszania przez zapewnienie silnej wspólnej reakcji społeczności międzynarodowej na cyberataki, RP będzie aktywnie poszukiwać, w ramach działalności dyplomatycznej, możliwości wzmocnienia międzynarodowej koordynacji wspólnych działań, w tym kolektywnej atrybucji oraz sankcji.

RP będzie współpracowała na rzecz promowania przestrzegania prawa międzynarodowego w cyberprzestrzeni. W szczególności będzie uczestniczyć w istotnych z punktu prawa międzynarodowego dyskusjach na forum ONZ, OBWE, NATO i UE. Ponadto będzie włączać się w wymianę poglądów na temat relacji prawa międzynarodowego do cyberprzestrzeni przez publiczne prezentowanie swojego stanowiska oraz dialog bilateralny z innymi państwami.

Wspólnie ze swoimi partnerami na szczeblu międzynarodowym RP będzie w dalszym ciągu wspierała Ukrainę, w tym również w ramach dialogu w sprawach cyberprzestrzeni. Biorąc pod uwagę doświadczenie Ukrainy w zwiększaniu zdolności w zakresie cyberodporności i cyberobrony, wymiana najlepszych praktyk w dziedzinie cyberobrony, w tym informacji na temat krajobrazu zagrożeń i świadomości sytuacyjnej, a także wymiana informacji na temat istotnych zmian polityki, leży we wspólnym interesie Ukrainy i RP, dlatego też będzie kontynuowana i poszerzana.

Wspierane będzie umacnianie się pozycji międzynarodowej polskich firm z sektora cyberbezpieczeństwa. Prowadzone będą działania na rzecz wzmocnienia ich potencjału eksportowego, a rozwiązania cyberbezpieczeństwa polskich firm będą promowane na arenie międzynarodowej.

Wzmocnienie pozycji międzynarodowej RP będzie możliwe tylko na drodze wewnętrznej ścisłej kooperacji między instytucjami i agencjami odpowiadającymi w RP za zapewnienie cyberbezpieczeństwa, w tym szczególnie między ministrem właściwym do spraw informatyzacji oraz ministrem właściwym do spraw zagranicznych odpowiadającym za całokształt polskiej polityki zagranicznej.

Dodatkowo ważne są znaczne inwestycje, zarówno indywidualne, jak i wspólne na poziomie unijnym, w zwiększenie odporności i wdrażanie zdolności w zakresie cyberobrony o pełnym spektrum. W tym kontekście kluczowe znaczenie mogą mieć unijne ramy współpracy i zachęty finansowe, a także wprowadzenie wspólnych standardów i uznawanie wzajemne certyfikowanych urządzeń.

Eksperci krajowi będą nadal aktywnie uczestniczyli w dyskusjach prowadzonych na forach oraz w ramach inicjatyw regionalnych i globalnych, a także będą aspirowali do pełnienia kluczowych ról w organizacjach międzynarodowych, przyczyniając się w ten sposób do skutecznej realizacji polityki zagranicznej w zakresie cyberbezpieczeństwa.

Budowanie odporności w cyberprzestrzeni jest globalnym wyzwaniem. RP, włączając się w inicjatywy organizacji międzynarodowych i prowadząc bilateralne działania, będzie przyczyniać się do wzmacniania zdolności partnerów, z którymi współpraca będzie wynikać z celów polityki zagranicznej.

10.2. Aktywna współpraca międzynarodowa na poziomie operacyjnym i technicznym

Współpraca międzynarodowa na poziomie operacyjnym i technicznym będzie realizowana m.in. w ramach NATO, ENISA, Sieci CSIRT (art. 15 dyrektywy NIS 2) oraz Stowarzyszenia INHOPE i INSAFE na poziomie UE oraz na innych forach wymiany informacji i współpracy, takich jak sieć FIRST czy TF-CSIRT, zrzeszające CSIRT-y, Forum Zespołu CSIRT TF-CSIRT, platformy wymiany informacji typu platforma udostępniania informacji o zagrożeniach MISP czy n6 oraz w ramach współpracy dwu- i wielostronnej. Kluczowe dla efektywnej współpracy międzynarodowej na poziomie operacyjnym i technicznym jest, aby w pracach Sieci CSIRT aktywnie uczestniczyły wszystkie CSIRT-y poziomu krajowego. Docelowo w aspekcie europejskiej sieci komunikacji o zagrożeniach cyberbezpieczeństwa (European Cybersecurity Alert System), o której jest mowa w Cyber Solidarity Act, stworzony zostanie NCH. Kolejnym krokiem będzie jego współpraca z wybranymi NCH w co najmniej 3 innych krajach członkowskich w formie Transgranicznego Cyber Hubu (Cross Boarder Cyber Hub).

RP będzie aktywnie włączać się w ćwiczenia prowadzone przez podmioty UE, NATO i inne podmioty międzynarodowe, jak również organizować specjalistyczne szkolenia i ćwiczenia z zakresu cyberbezpieczeństwa w wymiarze międzynarodowym. Pozwoli to m.in. na weryfikację wiedzy i nabytych umiejętności oraz wzmacnianie interoperacyjności zespołów cyberbezpieczeństwa oraz cyberwojsk.

Doskonalenie współpracy międzynarodowej będzie również kontynuowane przez uczestnictwo podmiotów publicznych zaangażowanych w zapewnienie cyberbezpieczeństwa w oficjalnych międzynarodowych forach wymiany informacji o zagrożeniach i podatnościach, a także w ramach międzynarodowych instytucji normalizacyjnych odpowiedzialnych za przygotowywanie i publikację standardów dotyczących cyberbezpieczeństwa.

Doskonalenie współpracy międzynarodowej w obszarze cyberbezpieczeństwa będzie odbywało się na płaszczyźnie uprawnionych organów państwowych i posiadanych przez nie bilateralnych systemów łączności ze służbami partnerskimi NATO.

RP będzie się włączać w europejskie inicjatywy na rzecz wzrostu cyberbezpieczeństwa przez ochronę przemysłu nowych technologii i zapewnienie mu suwerennej konkurencyjności w technologiach przełomowych w wymiarze regionalnym i globalnym. Te wspólne europejskie inicjatywy obejmują już technologie kwantowe o zastosowaniu w cyberbezpieczeństwie.

Współpraca międzynarodowa na poziomie operacyjnym i technicznym obejmie też poszerzenie i wspieranie międzynarodowej współpracy naukowej oraz badawczo-rozwojowej w obszarze cyberbezpieczeństwa.

10.3. Koordynacja działań na arenie międzynarodowej w zakresie współpracy cywilno-wojskowej w obszarze cyberbezpieczeństwa

Pełnomocnik, realizując swoje ustawowe zadania koordynowania działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa, będzie prowadził działania RP na arenie międzynarodowej w zakresie współpracy cywilno-wojskowej w obszarze cyberbezpieczeństwa w porozumieniu z ministrem właściwym do spraw informatyzacji, ministrem właściwym do spraw zagranicznych oraz Ministrem Obrony Narodowej, jak również innymi organami administracji rządowej w zakresie ich właściwości. Pozwoli to zwiększyć efektywność działań w stosunkach międzynarodowych i należycie zsynchronizować aktywności w obszarze cyberbezpieczeństwa podejmowane w ramach zarówno relacji wojskowych, jak i cywilnych, a przez to efektywniej realizować narodowe cele strategiczne.

Koordynatorem wdrażania Strategii jest minister właściwy do spraw informatyzacji.

Po dwóch latach od przyjęcia oraz w czwartym roku obowiązywania dokument podlega przeglądowi i ocenie efektów jego oddziaływania. Wyniki przeglądu są przedstawiane RM. W wyniku dokonanego przeglądu minister właściwy do spraw informatyzacji opracowuje propozycję działań korygujących lub projekt dokumentu na kolejny okres pięcioletni. W przypadku wystąpienia uzasadnionych okoliczności Strategia może być aktualizowana w innych terminach niż te, o których mowa powyżej.

Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej (Plan działań) stanowi załącznik do Strategii. Plan działań określa zadania Koordynatora, członków RM, kierowników urzędów centralnych, dyrektora Rządowego Centrum Bezpieczeństwa (RCB) oraz innych organów właściwych określonych w ustawie o KSC, zgodnie z ich ustawowymi kompetencjami.

Plan działań obejmuje:

1) obszar działania;

2) nr zadania;

3) nazwę zadania;

4) harmonogram;

5) instytucję właściwą / instytucje właściwe;

6) oczekiwane efekty;

7) miernik.

Plan działań obejmuje działania o charakterze projektowym, charakteryzujące się początkiem i końcem okresu realizacji oraz produktami powstałymi w wyniku realizacji danego działania.

Koordynator będzie corocznie przygotowywał sprawozdanie o postępach wdrażania Strategii za rok poprzedni na podstawie informacji otrzymywanych od podmiotów zaangażowanych w jej realizację. Sprawozdania będą przedkładane RM w terminie do dnia 30 września.

Na mocy obowiązujących przepisów podmioty realizujące zadania publiczne są obowiązane do ujmowania w swoich planach finansowych nakładów na cyberbezpieczeństwo. Planowanie środków finansowych powinno objąć także zadania ujęte w Planie działań. Strategia nie wywołuje dodatkowych skutków finansowych dla budżetu państwa. Środki finansowe na rzecz realizacji zadań ujętych w Planie działań powinny zostać zabezpieczone przez wiodące lub współpracujące instytucje w ramach swoich planów finansowych.

Źródłami finansowania realizacji działań opisanych w dokumencie będą w szczególności:

1) budżet państwa i plany finansowe poszczególnych jednostek zaangażowanych we wdrażanie Strategii Cyberbezpieczeństwa;

2) środki finansowe pochodzące z Funduszu Cyberbezpieczeństwa;

3) środki pochodzące z NCBR;

4) środki europejskie, w tym w ramach programów i funduszy:

a) DEP,

b) Horyzont Europa,

c) Fundusze Europejskie na Rozwój Cyfrowy 2021-2027 (FERC),

d) Krajowy Plan Odbudowy i Zwiększania Odporności (KPO),

e) Fundusze Europejskie dla Nowoczesnej Gospodarki (FENG) 2021-2027,

f) inne programy regionalne.